Índice de temas
Contraseñas y más contraseñas
Siempre se ha dicho que la seguridad que aporta una cadena es tan fuerte como lo es su eslabón más débil. Mantener en la memoria las contraseñas y los identificadores de usuario de todas las cuentas online en las que tenemos presencia se ha convertido en una tarea imposible de llevar a cabo de forma manual. Cada vez son más las cuentas que creamos para diferentes servicios haciendo uso de incontables parejas de “usuario-contraseña”.
Estos servicios habitualmente necesitan de claves de acceso que sean robustas, sin incurrir en solapamientos (es decir, evitando que dos cuentas distintas tengan las mismas claves de acceso). Para conseguirlo, a menudo los proveedores exigen que las claves tengan un número mínimo de caracteres, incluyendo mayúsculas y minúsculas, caracteres especiales y valores numéricos.
Frente a esta exigencia, de nada sirve plantear reglas nemotécnicas que permitan recordar múltiples contraseñas de forma más o menos sencilla. No en pocas ocasiones, esos patrones son captados y reproducidos por los ciberdelincuentes que actúan en Internet procesando los modos y pautas de actuación de los usuarios.
Gestores de contraseñas
Desde hace algunos años, los gestores de contraseñas han ido ganando protagonismo entre los usuarios gracias a la facilidad que tienen de agregar la identificación y la autenticación en diferentes cuentas dentro de una única caja fuerte que sea suficientemente segura.
De este modo, cuando un usuario quiere acceder a un servicio, debe acudir al gestor de contraseñas, acceder a su contenido y extraer los identificadores que necesita introducir en el servicio en cuestión. Para ello, sin embargo, necesita una clave maestra.
Este procedimiento, en la práctica sencillo, no está exento de evidentes riesgos: si alguien consiguiera tener acceso a la clave maestra del gestor de contraseñas, estaría en disposición de acceder a todas las cuentas de su víctima.
Se trata de un problema que de algún modo nos retrotrae al punto que planteábamos inicialmente: la necesidad de tener una contraseña robusta que pueda proteger el acceso al servicio de protección de contraseñas; un trabalenguas que, sin embargo, tiene una incuestionable ventaja: solo tendríamos que recordar una única contraseña.
Cuanto más largas, mejor
Ahora bien, el reto de plantear una única contraseña maestra puede llegar a resultar estresante, dada su importancia y criticidad: se trata de la llave que da acceso a otras llaves.
Las posibilidades de construir y recordar una clave maestra son numerosas y más aún si se tiene en cuenta que el tamaño de la clave (esto es, el número de caracteres que debe tener) es más determinante en cuanto a complejidad que la variación en cuanto los juegos de caracteres. Así, por ejemplo, una clave de dieciséis caracteres ASCII es más robusta de una de ocho que incluya caracteres especiales.
De este modo, crear claves maestras asociadas a gestores de contraseñas puede convertirse en algo tan sencillo como secuenciar un número suficientemente amplio de caracteres que seamos capaces de recordar de forma prácticamente inmediata (y que deseablemente no esté recogida en ningún registro digital. Por ejemplo, no se trata de utilizar claves como “En un lugar de la Mancha de cuyo nombre no quiero acordarme”). Las combinaciones son tantas como el lector pueda imaginar (y por supuesto posteriormente recordar).
Más seguridad con MFA
Sin embargo, aun en estas circunstancias, las posibilidades de que alguien pudiera llegar a conocer esa clave (los ataques de ingeniería social están a la orden del día) no son nulas. Por eso, el uso de otros elementos de verificación adicionales, como los dobles factores de autenticación (MFA), añaden mayor seguridad a estos sistemas. De este modo, el gestor de contraseñas, con una clave maestra y un doble factor de autenticación, estará tan protegido como lo estaría cualquier operación en nuestra propia cuenta bancaria siguiendo la actual directiva PSD2.
Custodia y recuperación
Sin embargo, hay algo que diferencia a los gestores de contraseñas de otros sistemas: sus claves maestras solo son conocidas y accesibles por su propietario. Es decir, el usuario es responsable de su custodia y recuperación, de tal modo que en caso de pérdida (u olvido), la “caja fuerte” permanecerá cerrada hasta que pueda encontrarla (o recordarla).
Esta característica hace de la contraseña maestra un elemento crítico (más aún, indispensable) dentro de todo el sistema.
Algunos podrán llegar a pensar en alternativas como guardar una copia de la clave maestra en un cajón o custodiarla con una nueva clave que a su vez la proteja de miradas indiscretas. Y así sucesivamente hasta desbordar la imaginación. Si ese es el caso y alguien ha llegado a esa conclusión, debería tener en cuenta que, como decíamos al principio, “la seguridad de una cadena es tan fuerte como lo es su eslabón más débil” y, por tanto, para no reducir el nivel de seguridad alcanzado, la nueva clave debería ser tanto o más robusta que la que protege, e incorporar también mecanismos de autenticación múltiple. Todo un verdadero galimatías.
Hackeo de gestores de contraseñas
Si usted ha llegado hasta aquí leyendo, es posible que esté pensando que los gestores de contraseñas no son tan robustos como contamos. Y menos aún cuando recientemente nos hemos encontrado con robos en productos de fabricantes como LastPass o NortonLifeLock.
En cierto modo, si piensa así, no le faltará razón. Los ciberataques sufridos por algunos fabricantes de gestores de contraseñas han puesto la señal de alarma en el mercado, porque los ciberdelincuentes no se han centrado en las instancias individuales de los usuarios, sino que se han dedicado a conseguir vulnerar los servicios online del propio fabricante.
Contraseñas protegidas
Sin embargo, también en estas circunstancias conviene revisar cómo los fabricantes de gestores de contraseñas procesan los datos que manejan.
Lo más habitual es que el gestor de contraseñas también utilice mecanismos de seguridad adicionales como el cifrado AES-256 o XChaCha20 para ofuscar sus propios datos o que incluso los mecanismos de ofuscación que emplean tengan en cuenta la clave maestra utilizada por cada usuario. Es decir, que el usuario final participe indirectamente en la custodia de los datos. En definitiva, que un robo de datos al fabricante no devengue en una vulneración de la seguridad de sus clientes.
Algo así es lo que ha ocurrido con LastPass, tal y como ha comunicado el fabricante recientemente tras el ataque sufrido en el mes de agosto pasado. Aun así, y pese a que aparentemente las claves continúan estando protegidas, la situación no deja de ser inquietante.
Y en el futuro…
Seguro que usted también se estará preguntando: ¿es que a nadie se le ha ocurrido otra forma de autenticación más segura y cómoda para el usuario?
La respuesta puede estar en camino si tenemos en cuenta que Microsoft, Apple y Google, dentro de FIDO Alliance, comienzan a ofrecer Passkey, una iniciativa que combina claves criptográficas, dispositivos y biometría que es más sencilla de utilizar por los usuarios. Por el momento ya hay una versión beta disponible que puede utilizarse en entornos muy reducidos, de ahí su limitación. Por ello, y mientras llega una versión más robusta, los gestores de contraseñas sean posiblemente la mejor solución comercialmente disponible, aunque no podamos decir que estén exentas de amenazas.
