El a\u00f1o pasado fuimos testigos de una avalancha de noticias sobre filtraciones de datos personales en varios servicios online e incluso en gestores de contrase\u00f1as populares. Por tanto, si usas una b\u00f3veda digital, probablemente comiences a imaginar la peor de las pesadillas cuando lees sobre una filtraci\u00f3n de datos de este tipo, pensando que los atacantes puedan haber accedido a todas las cuentas cuyas credenciales est\u00e9n almacenadas en tu gestor de contrase\u00f1as.<\/p>\n
Pero \u00bfest\u00e1n justificados estos miedos? Usando como ejemplo Kaspersky Password Manager<\/a>, te contamos c\u00f3mo funcionan las m\u00faltiples capas de defensa de los gestores de contrase\u00f1as y c\u00f3mo puedes fortalecerlas.<\/p>\n En primer lugar, vale la pena recordar por qu\u00e9 son una buena idea los gestores de contrase\u00f1as. La cantidad de servicios que usamos en Internet no deja de crecer y eso implica tener que introducir credenciales constantemente. Es dif\u00edcil recordarlas todas, pero ir anot\u00e1ndolas por ah\u00ed es arriesgado, por ello la soluci\u00f3n es guardar todas tus credenciales de inicio de sesi\u00f3n en un lugar seguro y luego bloquear esa b\u00f3veda con una \u00fanica clave; de esta forma, solo tendr\u00e1s que recordar una contrase\u00f1a principal.<\/p>\n Cuando activas por primera vez Kaspersky Password Manager<\/a>, tienes que crear una contrase\u00f1a principal que usar\u00e1s para abrir tu b\u00f3veda digital. Despu\u00e9s, puedes introducir en esta b\u00f3veda los datos de cada servicio de Internet que utilizas: URL, nombre de usuario y contrase\u00f1a. Puedes hacerlo manualmente o configurar una extensi\u00f3n para navegador del gestor de contrase\u00f1as y usar un comando especial para transferir todas las contrase\u00f1as guardadas en el navegador a la b\u00f3veda. Adem\u00e1s de las contrase\u00f1as, puedes agregar otros documentos personales como, por ejemplo, el ID de escaneo, datos de seguros y tarjetas bancarias y fotos importantes.<\/p>\n Cuando tengas que visitar un sitio web, solo tienes que abrir la b\u00f3veda y copiar manualmente los datos que necesitas o permitir que el gestor de contrase\u00f1as complete autom\u00e1ticamente las credenciales de inicio de sesi\u00f3n guardadas de cada sitio web. Despu\u00e9s, todo lo que tienes que hacer es bloquear la b\u00f3veda.<\/p>\n Ahora veamos los mecanismos de protecci\u00f3n. El archivo de la b\u00f3veda se cifra mediante un algoritmo de clave sim\u00e9trica basado en el Advanced Encryption Standard (AES-256), que se utiliza en todo el mundo para proteger datos confidenciales. Para acceder a la b\u00f3veda, utilizas una clave basada en tu contrase\u00f1a principal. Si esta contrase\u00f1a es segura, los atacantes necesitar\u00e1n mucho tiempo para descifrar el archivo sin la clave.<\/p>\n Adem\u00e1s, nuestro gestor de contrase\u00f1as<\/a> bloquea autom\u00e1ticamente la b\u00f3veda despu\u00e9s de que el usuario est\u00e9 inactivo durante cierto per\u00edodo de tiempo. Por tanto, si un atacante se apodera de tu dispositivo y logra eludir la protecci\u00f3n del sistema operativo y llegar al archivo de la b\u00f3veda, no podr\u00e1 leerlo si no tiene la contrase\u00f1a principal.<\/p>\n El autobloqueo es cosa tuya. Es posible que los ajustes predeterminados de la aplicaci\u00f3n no bloqueen la b\u00f3veda hasta despu\u00e9s de un per\u00edodo bastante largo de inactividad. Pero si sueles usar el port\u00e1til o smartphone en lugares que pueden no ser del todo seguros, puedes configurar el autobloqueo para que se active despu\u00e9s de un minuto.<\/p>\n Sin embargo, hay otra posible laguna: si un atacante ha instaurado un troyano o usado otro m\u00e9todo para instalar un protocolo de acceso remoto en tu ordenador, es posible que intente extraer contrase\u00f1as de la b\u00f3veda mientras est\u00e9s conectado a ella. En el 2015, unos ciberdelincuentes crearon una herramienta de este tipo para el gestor de contrase\u00f1as KeePass<\/a> que descifraba y almacenaba como un archivo separado un archivo completo con contrase\u00f1as que se ejecutaba en un ordenador con una instancia abierta de KeePass.<\/p>\n Sin embargo, Kaspersky Password Manager<\/a> generalmente se usa junto con las soluciones de seguridad de Kaspersky<\/a>, y eso hace que sea mucho menos probable que un gestor de contrase\u00f1as se ejecute en un ordenador infectado.<\/p>\n\n El archivo cifrado con contrase\u00f1as se puede guardar no solo en tu dispositivo, sino tambi\u00e9n en la infraestructura en la nube de Kaspersky; esto te permite usar la b\u00f3veda desde diferentes dispositivos, incluidos los ordenadores particulares y tel\u00e9fonos m\u00f3viles. Una opci\u00f3n especial en la configuraci\u00f3n permite la sincronizaci\u00f3n de los datos de todos sus dispositivos con el Kaspersky Password Manager<\/a> instalado. Tambi\u00e9n puedes usar la versi\u00f3n web del gestor de contrase\u00f1as desde cualquier dispositivo a trav\u00e9s del sitio web de My Kaspersky<\/a>.<\/p>\n Pero \u00bfes posible una filtraci\u00f3n de datos si est\u00e1 utilizando el almacenamiento en la nube? Primero, es importante comprender que estamos operando seg\u00fan el principio de conocimiento cero; esto significa que tu b\u00f3veda de contrase\u00f1as est\u00e1 tan cifrada para Kaspersky como para todos los dem\u00e1s. Los desarrolladores de Kaspersky no podr\u00e1n leer el archivo; solo podr\u00e1 abrirlo quien conozca la contrase\u00f1a principal.<\/p>\n Muchos, aunque no todos, de los servicios actuales que almacenan contrase\u00f1as y otros secretos se adhieren a un principio similar. Por lo tanto, si te encuentras con la noticia sobre una filtraci\u00f3n de datos en un servicio de almacenamiento en la nube, no entres en p\u00e1nico de inmediato: esto no significa necesariamente que los atacantes hayan podido descifrar los datos robados. Este tipo de violaci\u00f3n es como robar una caja fuerte armada de un banco sin tener la combinaci\u00f3n de la cerradura.<\/p>\n En este caso, la combinaci\u00f3n es tu contrase\u00f1a principal. Otro principio de seguridad importante es que Kaspersky Password Manager<\/a> no guarda tu contrase\u00f1a principal en tus dispositivos o la nube. Por tanto, si un ciberdelincuente accede a tu ordenador o al servicio de almacenamiento en la nube, no podr\u00e1 robar la contrase\u00f1a principal del producto en s\u00ed, dado que t\u00fa eres el \u00fanico que la conoce.<\/p>\n Sin embargo, la filtraci\u00f3n de un archivo cifrado con contrase\u00f1as tambi\u00e9n puede crear problemas. Una vez que los atacantes han robado la b\u00f3veda, pueden intentar hackearla.<\/p>\n Hay dos<\/strong> m\u00e9todos principales de ataque<\/strong>. El primero<\/strong> es la fuerza bruta<\/strong> que, como norma general, consume mucho tiempo. Si tu contrase\u00f1a se compone de una docena de caracteres aleatorios e incluye letras min\u00fasculas y may\u00fasculas, n\u00fameros y caracteres especiales, la fuerza bruta de todas las combinaciones requiere m\u00e1s de un sextill\u00f3n de operaciones; has le\u00eddo bien\u2026 \u00a1un n\u00famero entero con 21 cifras!<\/p>\n Pero si te has decidido a hacer tu vida m\u00e1s f\u00e1cil y has usado una contrase\u00f1a d\u00e9bil, como una sola palabra o una simple combinaci\u00f3n de n\u00fameros como \u201c123456\u201d, el esc\u00e1ner autom\u00e1tico la detectar\u00e1 en menos de un segundo porque en este caso la fuerza bruta no se basa en s\u00edmbolos individuales sino en un diccionario de combinaciones populares. A pesar de esto, a d\u00eda de hoy, muchos usuarios eligen contrase\u00f1as de diccionario (combinaciones de s\u00edmbolos que han estado durante mucho tiempo en los diccionarios de los esc\u00e1neres de los ciberdelincuentes).<\/p>\n Por ejemplo, en diciembre del 2022, el gestor de contrase\u00f1as LastPass<\/a> advirti\u00f3 a sus usuarios sobre este problema potencial cuando se hacke\u00f3 la cuenta de uno de sus desarrolladores y los atacantes obtuvieron acceso al alojamiento en la nube que utiliza la empresa. Entre otros datos, los atacantes obtuvieron copias de seguridad de las contrase\u00f1as de la b\u00f3veda de los usuarios. La compa\u00f1\u00eda garantiz\u00f3 a sus usuarios que si segu\u00edan todas las recomendaciones para crear una contrase\u00f1a principal segura y \u00fanica no tendr\u00edan nada de qu\u00e9 preocuparse, dado que \u201cllevar\u00eda millones de a\u00f1os\u201d forzarla. Aconsejaron por tanto a las personas que usaban contrase\u00f1as m\u00e1s d\u00e9biles que las cambiaran de inmediato.<\/p>\n Afortunadamente, muchos gestores de contrase\u00f1as, entre los que se incluye Kaspersky Password Manager<\/a>, ahora comprueban autom\u00e1ticamente la seguridad de tu contrase\u00f1a principal. Si es d\u00e9bil o de fuerza media, el gestor te enviar\u00e1 un aviso que no deber\u00e1s pasar por alto.<\/p>\n El segundo m\u00e9todo de ataque<\/strong> se basa en el hecho de que los usuarios a menudo usan las mismas credenciales de inicio de sesi\u00f3n para diferentes servicios de Internet<\/strong>. Por tanto, si se viola uno de los servicios, los atacantes podr\u00edan usar la fuerza bruta autom\u00e1ticamente con las combinaciones de nombre de usuario y contrase\u00f1a en otros servicios en un ataque<\/strong>, generalmente exitoso, conocido como \u201crelleno de credenciales\u201d<\/strong>.<\/p>\nPrincipios generales<\/h2>\n
B\u00f3veda digital y autobloqueo<\/h2>\n
Conocimiento cero<\/h2>\n
Una contrase\u00f1a principal fuerte<\/h2>\n
Una contrase\u00f1a principal \u00fanica<\/h2>\n