El a\u00f1o pasado presenciamos una avalancha de noticias sobre filtraciones de datos personales en diversos servicios online y hasta en gestores de contrase\u00f1as populares. Por ende, si usas una b\u00f3veda digital, quiz\u00e1 empieces a imaginar la peor de las pesadillas cuando lees sobre una filtraci\u00f3n de datos de este tipo, pensando que los atacantes puedan acceder a todas tus cuentas cuyos datos se almacenen en tu gestor de contrase\u00f1as.<\/p>\n
Pero \u00bfestos miedos son justificados? Usando como ejemplo Kaspersky Password Manager<\/a>, te contamos c\u00f3mo funcionan las m\u00faltiples capas de defensa de los gestores de contrase\u00f1as y c\u00f3mo puedes fortalecerlas.<\/p>\n Primero, hay que recordar por qu\u00e9 los gestores de contrase\u00f1as son una buena idea. La cantidad de servicios que usamos en Internet no para de crecer y eso significa tener que introducir constantemente tus datos. Es dif\u00edcil recordar todas, pero anotarlas por ah\u00ed es arriesgado, por ello la soluci\u00f3n es guardar todos tus datos de inicio de sesi\u00f3n en un lugar seguro y luego bloquear esa b\u00f3veda con una clave \u00fanica; as\u00ed, solo deber\u00e1s recordar la contrase\u00f1a principal.<\/p>\n Cuando activas por primera vez Kaspersky Password Manager<\/a>, tienes que crear una contrase\u00f1a principal que usar\u00e1s para abrir tu b\u00f3veda digital. Despu\u00e9s, puedes introducir los datos de cada servicio de Internet que utilizas dentro de esta b\u00f3veda: URL, nombre de usuario y contrase\u00f1a. Puedes hacerlo manualmente o configurar una extensi\u00f3n para navegador del gestor de contrase\u00f1as y usar un comando especial para transferir todas las contrase\u00f1as guardadas en el navegador a la b\u00f3veda. Adem\u00e1s de contrase\u00f1as, puedes agregar otros personales como tu identificaci\u00f3n escaneada, datos de seguros, tarjetas bancarias y fotos importantes, por ejemplo.<\/p>\n Cuando visites un sitio web, solo debes abrir la b\u00f3veda y copiar manualmente los datos que necesitas o dejar que el gestor de contrase\u00f1as complete los datos de inicio de sesi\u00f3n guardados de cada sitio web de forma autom\u00e1tica. Despu\u00e9s, lo \u00fanico que debes hacer es bloquear la b\u00f3veda.<\/p>\n Veamos los mecanismos de protecci\u00f3n. El archivo de la b\u00f3veda se cifra mediante un algoritmo de clave sim\u00e9trica basado en el Advanced Encryption Standard (AES-256), que se utiliza en todo el mundo para proteger datos confidenciales. Para acceder a la b\u00f3veda, utilizas una clave basada en tu contrase\u00f1a principal. Si esta contrase\u00f1a es segura, los atacantes necesitar\u00e1n mucho tiempo para descifrar el archivo sin la clave.<\/p>\n Adem\u00e1s, nuestro gestor de contrase\u00f1as<\/a> bloquea autom\u00e1ticamente la b\u00f3veda despu\u00e9s de que el usuario est\u00e9 inactivo durante cierto tiempo. Por ende, si un atacante roba tu dispositivo y logra eludir la protecci\u00f3n del sistema operativo y llega al archivo de la b\u00f3veda, no podr\u00e1 leerlo sin la contrase\u00f1a principal.<\/p>\n El autobloqueo es cosa tuya. Quiz\u00e1 los ajustes predeterminados de la aplicaci\u00f3n no bloqueen la b\u00f3veda hasta despu\u00e9s de un per\u00edodo de inactividad bastante largo. Pero si sueles usar tu laptop o smartphone en lugares que quiz\u00e1 no son seguros del todo, puedes configurar el autobloqueo que se activar\u00e1 despu\u00e9s de un minuto.<\/p>\n No obstante, hay otro posible bache: si un atacante instal\u00f3 un troyano o us\u00f3 otro m\u00e9todo para instalar un protocolo de acceso a distancia en tu computadora, es posible que intente extraer contrase\u00f1as de la b\u00f3veda mientras est\u00e9s conectado a ella. En 2015, unos ciberdelincuentes crearon una herramienta de este tipo para el gestor de contrase\u00f1as KeePass<\/a> que descifraba y almacenaba como un documento separado un archivo completo con contrase\u00f1as que se ejecutaba en una computadora con una instancia abierta de KeePass.<\/p>\n Sin embargo, Kaspersky Password Manager<\/a> generalmente se usa junto con las soluciones antivirus de Kaspersky<\/a>, y eso hace que sea mucho menos probable que un gestor de contrase\u00f1as se ejecute en una computadora infectada.<\/p>\n\n El archivo cifrado con contrase\u00f1as puede guardarse no solo en tu dispositivo, sino tambi\u00e9n en la infraestructura en la nube de Kaspersky; esto te permite utilizar la b\u00f3veda desde distintos dispositivos, incluso computadoras particulares y celulares. Una opci\u00f3n especial en la configuraci\u00f3n permite la sincronizaci\u00f3n de los datos de todos sus dispositivos con el Kaspersky Password Manager<\/a> instalado. Tambi\u00e9n puedes usar la versi\u00f3n web del gestor de contrase\u00f1as desde cualquier dispositivo a trav\u00e9s del sitio web de My Kaspersky<\/a>.<\/p>\n Pero \u00bfes posible una filtraci\u00f3n de datos mientras se usa el almacenamiento en la nube? Primero, es importante entender que estamos operando seg\u00fan el principio de conocimiento cero; esto significa que tu b\u00f3veda de contrase\u00f1as est\u00e1 cifrada tanto para Kaspersky como para todos los dem\u00e1s. Los desarrolladores de Kaspersky no podr\u00e1n leer el archivo; solo puede abrirlo quien conoce la contrase\u00f1a principal.<\/p>\n Muchos de los servicios actuales, aunque no todos, \u00a0que almacenan contrase\u00f1as y otros secretos funcionan bajo un principio similar. Por ende, si te encuentras con la noticia sobre una filtraci\u00f3n de datos en un servicio de almacenamiento en la nube, no entres en p\u00e1nico de inmediato: esto no significa que los atacantes hayan podido descifrar los datos robados necesariamente. Este tipo de violaci\u00f3n es como robar una caja fuerte armada de un banco sin contar con la combinaci\u00f3n de la cerradura.<\/p>\n En este caso, la combinaci\u00f3n es tu contrase\u00f1a principal. Otro principio de seguridad importante es que Kaspersky Password Manager<\/a> no guarda tu contrase\u00f1a principal en tus dispositivos o la nube. Por tanto, si un ciberdelincuente accede a tu computadora o al servicio de almacenamiento en la nube, no podr\u00e1 robar la contrase\u00f1a principal del producto en s\u00ed, ya que t\u00fa eres el \u00fanico que la conoce.<\/p>\n No obstante, la filtraci\u00f3n de un archivo cifrado con contrase\u00f1as tambi\u00e9n puede crear problemas. Una vez que los atacantes robaron la b\u00f3veda, pueden intentar hackearla.<\/p>\n Hay dos<\/strong> m\u00e9todos de ataque principales<\/strong>. El primero<\/strong> es la fuerza bruta que, como regla general, consume mucho tiempo. Si tu contrase\u00f1a est\u00e1 formada de una docena de caracteres aleatorios e incluye letras min\u00fasculas y may\u00fasculas, n\u00fameros y caracteres especiales, la fuerza bruta de todas las combinaciones requiere m\u00e1s de un sextill\u00f3n de operaciones; le\u00edste bien\u2026 \u00a1un n\u00famero entero con 21 cifras!<\/p>\n Pero si decidiste hacer tu vida m\u00e1s f\u00e1cil y pusiste una contrase\u00f1a d\u00e9bil, como una sola palabra o una combinaci\u00f3n simple de n\u00fameros como \u201c123456\u201d, el esc\u00e1ner autom\u00e1tico la detectar\u00e1 en menos de un segundo porque en este caso la fuerza bruta no se basa en s\u00edmbolos individuales sino en un diccionario de combinaciones populares. A pesar de esto, en la actualidad hay muchos usuarios que eligen contrase\u00f1as de diccionario (combinaciones de s\u00edmbolos que han estado durante mucho tiempo en los diccionarios de los esc\u00e1neres de los ciberdelincuentes).<\/p>\n Por ejemplo, en diciembre del 2022, el gestor de contrase\u00f1as LastPass<\/a> advirti\u00f3 a sus usuarios sobre este potencial problema cuando la cuenta de uno de sus desarrolladores fue hackeada y los atacantes obtuvieron acceso al alojamiento en la nube que la empresa utiliza. Entre otros datos, los atacantes obtuvieron copias de seguridad de las contrase\u00f1as de la b\u00f3veda de los usuarios. La compa\u00f1\u00eda garantiz\u00f3 a sus usuarios que si segu\u00edan todas las recomendaciones para crear una contrase\u00f1a principal segura y \u00fanica no habr\u00eda de qu\u00e9 preocuparse, ya que \u201cllevar\u00eda millones de a\u00f1os\u201d forzarla. Aconsejaron por tanto a las personas que usaban contrase\u00f1as m\u00e1s d\u00e9biles que las cambiaran cuanto antes.<\/p>\n Por fortuna, muchos gestores de contrase\u00f1as, entre los que se incluye Kaspersky Password Manager<\/a>, ahora comprueban de forma autom\u00e1tica la seguridad de tu contrase\u00f1a principal. Si es d\u00e9bil o de fuerza media, el gestor te enviar\u00e1 un aviso que no hay que ignorar.<\/p>\n El segundo m\u00e9todo de ataque se basa en el hecho de que usualmente los usuarios a menudo utilizan las mismas contrase\u00f1as para diferentes servicios de Internet. Por ende, si se viola uno de los servicios, los atacantes podr\u00edan usar autom\u00e1ticamente la fuerza bruta con las combinaciones de nombre de usuario y contrase\u00f1a en otros servicios en un ataque, generalmente exitoso, conocido como \u201crelleno de credenciales\u201d.<\/p>\nPrincipios generales<\/h2>\n
B\u00f3veda digital y autobloqueo<\/h2>\n
Conocimiento cero<\/h2>\n
Una contrase\u00f1a principal fuerte<\/h2>\n
Una contrase\u00f1a principal \u00fanica<\/h2>\n