Gestor de contraseñas

Fiabilidad

¿Qué es un gestor de contraseñas?

Un gestor de contraseñas es un programa informático que permite al usuario gestionar sus credenciales de acceso a varios sitios web y aplicaciones con una única contraseña maestra.

Los gestores de contraseñas más eficaces almacenan los nombres de usuario y las contraseñas en una base de datos cifrada que está protegida por la contraseña maestra y la autenticación de dos factores (2FA). La base de datos cifrada puede almacenarse en el dispositivo del usuario o en un servidor remoto, dependiendo del tipo de gestor de contraseñas y de las preferencias del usuario.

¿Cómo funciona un gestor de contraseñas?

Cuando un usuario configura por primera vez un gestor de contraseñas, se le pide que cree una contraseña maestra que siga las mejores prácticas para contraseñas seguras. Una contraseña maestra es una frase de contraseña única y segura que actúa como clave de cifrado/descifrado.

Una vez creada la contraseña maestra, el gestor de contraseñas generará un almacén de contraseñas seguro para guardar las demás contraseñas del usuario. La próxima vez que el usuario acceda a un sitio web o una aplicación que requiera que inicie sesión, el gestor de contraseñas le preguntará si debe guardar las credenciales que introduzca.

Si el usuario dice que sí, el gestor de contraseñas cifrará automáticamente las credenciales y las almacenará en el almacén de contraseñas. En visitas posteriores, el gestor de contraseñas reconocerá el sitio web o la aplicación y rellenará automáticamente las credenciales de inicio de sesión del usuario.

¿Se pueden restablecer las contraseñas maestras?

Si el usuario olvida su contraseña maestra, esto es un problema porque las contraseñas maestras no suelen tener un mecanismo de restablecimiento de contraseña. Esta elección de diseño es intencionada; garantiza que incluso si los servidores del proveedor del gestor de contraseñas se ven comprometidos, el atacante sólo podrá robar contraseñas cifradas, y las contraseñas cifradas son inútiles sin la contraseña maestra y el segundo factor de autenticación del usuario.

Como alternativa, algunos gestores de contraseñas permiten a los usuarios conceder a una o dos personas de confianza “derechos de acceso de emergencia” a su almacén de contraseñas. Esta función suele ir acompañada de salvaguardas, como un “periodo de espera”, durante el cual el usuario principal puede denegar el acceso.

Tipos de gestores de contraseñas

Los distintos tipos de gestores de contraseñas tienen diferentes precios, ventajas y desventajas, y la elección de la aplicación de gestión de contraseñas depende de los requisitos de ciberseguridad del usuario y de sus preferencias personales.

Por comodidad y seguridad, muchos usuarios adoptan un enfoque híbrido y utilizan gestores basados en navegador para los inicios de sesión no críticos, y gestores de contraseñas descargables o basados en la nube para almacenar las contraseñas que requieren mayores niveles de seguridad.

Gestores de contraseñas basados en navegador
Los gestores de contraseñas basados en navegadores son gratuitos y fáciles de usar, pero su comodidad significa que no son adecuados para almacenar contraseñas que requieren un alto nivel de seguridad.

El gestor de contraseñas de Chrome, por ejemplo, está vinculado a la cuenta de Google del usuario. Esto es práctico porque permite a los usuarios gestionar contraseñas desde cualquier dispositivo conectado a la cuenta de Google del usuario. Sin embargo, esto es arriesgado, porque si un atacante es capaz de comprometer la cuenta de Google del usuario, puede ver las contraseñas del usuario en texto plano a través de la configuración del navegador.

Gestores de contraseñas descargables
Los gestores de contraseñas descargables son aplicaciones de software de terceros que se instalan localmente en un único dispositivo. Este tipo de gestor de contraseñas suele tener un cifrado más robusto, puede gestionar un gran número de contraseñas de varios sitios y a menudo incluye funciones de seguridad adicionales para la generación y organización de contraseñas.

Los gestores de contraseñas descargables suelen tener un conocimiento nulo de las contraseñas maestras. Sin embargo, esta característica de seguridad puede ser un arma de doble filo, ya que si el usuario olvida su contraseña maestra, el proveedor no tiene forma de ayudarle a recuperar sus contraseñas.

Gestores de contraseñas basados en la nube
Los gestores de contraseñas basados en la nube son aplicaciones de software como servicio (SaaS) de terceros alojadas en los servidores del proveedor y a las que se accede a través de una interfaz web. Algunos gestores de contraseñas basados en la nube pueden adquirirse de forma gratuita, pero las versiones gratuitas suelen estar limitadas de alguna manera; por ejemplo, es posible que sólo puedan almacenar un número limitado de contraseñas.

Para reducir el riesgo de utilizar un gestor de contraseñas en la nube para empresas, la mayoría de los proveedores adoptan principios de conocimiento cero para las contraseñas maestras. Esto mejora la seguridad porque impide que el proveedor de servicios acceda a los datos del usuario.

Sin embargo, para garantizar la continuidad en caso de emergencia, muchos proveedores ofrecen opciones de acceso de emergencia que permiten a las personas designadas acceder al almacén de contraseñas en determinadas condiciones.

Gestores de contraseñas basados en hardware

YubiKey security tokenLos gestores de contraseñas basados en hardware son fichas de seguridad físicas que pueden utilizarse para almacenar contraseñas fuera de línea en un chip seguro. Para recuperar y utilizar sus contraseñas, el usuario debe conectar el token a un dispositivo informático e introducir su contraseña maestra. Para proporcionar una capa adicional de seguridad, algunos gestores de contraseñas basados en hardware utilizan estrategias de autenticación multifactor (MFA) que requieren que el usuario introduzca una contraseña de un solo uso (OTP) adicional generada por una aplicación de autenticación basada en web o en el propio token.

Los tokens de hardware YubiKey se utilizan a menudo para dotar a los gestores de contraseñas compatibles de una capa adicional de seguridad. Incluso si un atacante es capaz de utilizar tácticas de ingeniería social y robar una contraseña maestra, seguirá necesitando acceso físico a la YubiKey correcta para desbloquear el almacén seguro del gestor de contraseñas.

Características de los gestores de contraseñas más populares

Para elegir el gestor de contraseñas adecuado, es importante tener en cuenta el precio y comparar características como la potencia de cifrado, la facilidad de uso y la reputación del proveedor en cuanto a seguridad y atención al cliente.

Los gestores de contraseñas más conocidos suelen ofrecer las siguientes opciones:

  • Acceso entre dispositivos y plataformas: Muchas de las aplicaciones de gestión de contraseñas más populares pueden cifrar y almacenar credenciales de inicio de sesión de múltiples dispositivos y sistemas operativos. Una función de sincronización garantiza que los cambios realizados en un dispositivo se apliquen automáticamente a los demás dispositivos conectados del usuario.
  • Generación de contraseñas: Los gestores de contraseñas más versátiles incluyen un mecanismo para generar contraseñas seguras que no puedan descifrarse en un tiempo razonable.
  • Captura automática: Esta función captura automáticamente las nuevas credenciales de inicio de sesión a medida que se introducen.
  • Autorelleno: Esta función puede rellenar automáticamente los campos de inicio de sesión después de la primera visita.
  • Inicio de sesión biométrico: Algunos gestores de contraseñas permiten a los usuarios designar factores de autenticación biométrica que pueden utilizarse en lugar de la contraseña maestra o además de ella.
  • Cifrado AES: La mayoría de los gestores de contraseñas personales y profesionales utilizan el estándar de cifrado avanzado (AES) del NIST con claves de 128, 192 o 256 bits. En teoría, cuanto mayor sea la longitud de la clave, más seguro será el gestor de contraseñas.
  • Almacenamiento seguro de archivos: Algunos gestores ofrecen espacio de almacenamiento cifrado para información confidencial adicional, como los datos de la tarjeta de crédito.
  • Acceso sin conexión: Muchos gestores de contraseñas almacenan una versión cifrada de la base de datos de contraseñas localmente en el dispositivo del usuario. Esto permite a los usuarios consultar sus contraseñas incluso cuando no están conectados a Internet.
  • Comprobación del estado de la contraseña: Esta función evalúa la solidez y antigüedad de las contraseñas almacenadas y marca las contraseñas que deben actualizarse porque son vulnerables a las aplicaciones de software de descifrado de contraseñas.
  • Registros de auditoría: Algunos gestores de contraseñas para empresas permiten a los administradores revisar cuándo se crearon, accedieron, compartieron o cambiaron las contraseñas.
  • Notificaciones de violación: Esta función alertará a los usuarios si sus credenciales almacenadas se han visto implicadas en una violación de datos conocida.
  • Acceso de emergencia: Algunos gestores de contraseñas permiten a las personas designadas solicitar acceso al almacén de contraseñas del usuario en caso de emergencia.

Temas relacionados

Margaret Rouse
Senior Editor
Margaret Rouse
Experta en tecnología

Margaret Rouse es una galardonada escritora técnica y profesora conocida por su habilidad para explicar temas técnicos complejos a una audiencia de negocios no técnica. Durante los últimos veinte años, sus explicaciones han aparecido en sitios web de TechTarget y ha sido citada como autoridad en artículos del New York Times, Time Magazine, USA Today, ZDNet, PC Magazine y Discovery Magazine. La idea de diversión de Margaret es ayudar a profesionales de TI y negocios a aprender a hablar los idiomas altamente especializados de cada uno. Si tienes una sugerencia para una nueva definición o cómo mejorar una explicación técnica,…