El almacenamiento de contraseñas en navegadores evita tener que volver a introducirlas cada vez que se inicia sesión en un recurso, lo que supone un ahorro de tiempo real. Pero, ¿qué tan seguro es? En esta publicación se exploran tres razones por las que no debes almacenar contraseñas en un navegador y por qué es mejor usar un método de almacenamiento mucho más seguro: un administrador de contraseñas.
1. Programas de robo de contraseñas
El problema principal del almacenamiento de contraseñas en navegadores es que sacrifican la seguridad por la usabilidad. Esto es válido al menos para los tres navegadores más populares: Google Chrome, Mozilla Firefox y Microsoft Edge, los cuales almacenan las contraseñas de los usuarios de una manera muy insegura.
La razón es que todos los navegadores almacenan las contraseñas en un lugar muy predecible, una carpeta cuya ruta ya no es un secreto para nadie. Y aunque las contraseñas en sí están cifradas, la clave de cifrado se almacena cerca y es de fácil acceso. Con esta clave, un atacante puede descifrar y robar contraseñas. Una situación absurda: la puerta parece estar bien cerrada, pero la llave está debajo del felpudo y todo el mundo lo sabe.
De hecho, los navegadores aprovechan esta situación para competir entre sí: para facilitar el cambio a los usuarios, a menudo ofrecen importar todos los datos guardados desde el navegador anterior, incluidas las contraseñas almacenadas.
¿Alguna suposición de quién más está usando esta función? Así es. Existe toda una clase de malware (apropiadamente llamados programas de robo de contraseñas) dedicado al robo de credenciales. Este malware filtra las carpetas que se sabe que contienen contraseñas almacenadas en navegadores, encuentra la clave debajo del felpudo, descifra las contraseñas y carga el botín en el servidor de los ciberdelincuentes. Más tarde, estas contraseñas suelen incluirse en una base de datos para venderse a granel en la red oscura a otros delincuentes, que las usan para secuestrar cuentas (la especialización estrecha ha sido la norma durante mucho tiempo en el mundo de los ciberdelincuentes).
Para comprender lo fácil que es robar contraseñas almacenadas en un navegador, recomendamos ver un vídeo que muestra de forma clara cómo extraer rápidamente contraseñas de Chrome, Firefox y Edge usando nada más que un script de Python.
2. Acceso físico al ordenador
El malware especialmente entrenado no es el único que puede hacer este tipo de travesuras; cualquier persona con acceso físico a un ordenador puede hacer lo mismo. Y no se requieren habilidades sofisticadas de piratería: los scripts para filtrar las contraseñas almacenadas en navegadores están disponibles en línea. Solo deben ejecutarse.
Incluso un pariente o un colega de trabajo demasiado curiosos podrían hacerlo si dejas el ordenador desbloqueado. O un pirata informático que visita tu oficina en una misión de exploración. Básicamente, cualquier persona. El punto importante es que todas las contraseñas almacenadas en navegadores terminarán en manos potencialmente hostiles.
Y aunque el intruso no tenga el script correcto para extraer las contraseñas del archivo guardado en el navegador, puede buscar en la configuración la lista de sitios cuyas contraseñas se almacenan e iniciar sesión en uno de ellos para leer tu correspondencia, por ejemplo, o descubrir otros secretos.
El navegador más popular del mundo (Google Chrome, en caso de que no lo supieras) ni siquiera tiene un mecanismo básico para evitar este tipo de acciones. Y aunque los desarrolladores de Firefox fueron lo suficientemente buenos como para permitir a los usuarios proteger las contraseñas guardadas con una contraseña principal, dejaron esta opción desactivada de manera predeterminada. La contraseña principal debe estar activada y configurada explícitamente, y es poco probable que muchos usuarios de Firefox conozcan esta situación.
3. Secuestro de cuenta del navegador
El siguiente problema es común a todos los navegadores que permiten a los usuarios, para su comodidad, crear una cuenta para sincronizar navegadores en diferentes dispositivos. Esto significa que los marcadores, las sesiones del navegador, las extensiones, la configuración y las contraseñas guardados se sincronizan y almacenan en la nube. Y si un pirata informático ingresa a la cuenta de tu navegador, todo lo que tiene que hacer es iniciar sesión en otro ordenador con la misma cuenta. De esta forma, el atacante podrá acceder a todas las cuentas cuyas contraseñas se almacenan en el navegador, desde las redes sociales hasta los bancos en línea.
Por qué un administrador de contraseñas es mejor que un navegador
Al igual que los navegadores, Kaspersky Password Manager recuerda tus credenciales y te permite completarlas automáticamente al iniciar sesión en sitios web. Pero a diferencia de los desarrolladores de navegadores, nosotros no comprometemos la seguridad. En nuestro administrador de contraseñas, la contraseña principal se utiliza de manera predeterminada y no se puede desactivar; todas las contraseñas guardadas están protegidas en todo momento. Por lo tanto, aunque alguien obtenga acceso físico a tu ordenador, no podrá iniciar sesión en los sitios usando las credenciales almacenadas en el administrador. Para hacerlo, necesitaría la contraseña principal, que solo tú conoces (a menos que la hayas pegado en la pantalla en una nota adhesiva).
Otra ventaja de Kaspersky Password Manager es, por supuesto, que todas las contraseñas se almacenan únicamente en formato cifrado. Y, lo que es más importante, no guardamos la clave de descifrado “debajo de un felpudo”. La clave de cifrado se genera sobre la marcha utilizando el algoritmo AES-256 sobre la base de la contraseña principal, lo que nos permite no almacenarla en absoluto. En ningún lugar. Nunca. Por lo tanto, aunque un ladrón logre ingresar al ordenador, no podrá robar nada: todas las contraseñas están cifradas de forma segura. Por cierto, si usas Kaspersky Password Manager como parte de Kaspersky Premium, ni siquiera dejaremos entrar el malware.
Una última cosa. Naturalmente, usamos la nube para sincronizar contraseñas entre dispositivos; todas tus contraseñas están vinculadas a tu cuenta de My Kaspersky. Pero aunque un intruso lograra acceder de alguna manera a esta cuenta, las contraseñas almacenadas en Kaspersky Password Manager seguirían estando perfectamente a salvo. Esto se debe a que se almacenan en la nube exclusivamente en un formato cifrado y a que la clave de descifrado se genera sobre la base de la contraseña principal, que solo tú conoces y sin la cual los atacantes no pueden hacer nada.
Recientemente, también hemos actualizado Kaspersky Password Manager para que sea compatible con los navegadores Opera y Opera GX, que continúan ganando nuevos usuarios. Eso significa que ahora admitimos todos los navegadores más populares: Chrome (y navegadores basados en Chromium), Safari, Firefox, Edge y Opera.