¿Qué es el almacenamiento de contraseñas?

Una solución de ciberseguridad que cada vez es más utilizada por empresas y usuarios es la gestión de contraseñas. Los gestores de contraseñas son aplicaciones que almacenan y protegen las contraseñas de cuentas online. Ofrecen protección frente a las consecuencias de mayor coste de un ciberataque. Un buen gestor de contraseñas genera contraseñas sólidas y únicas para cada cuenta. Al dificultar que los atacantes obtengan datos sensibles, las soluciones de almacenamiento de contraseñas representan la primera línea de defensa de una organización actual.

Los expertos en ciberseguridad recomiendan encarecidamente el uso de un gestor de contraseñas para almacenar de forma segura la información de la cuenta. Se recomienda especialmente a empresas, administraciones públicas y otras grandes organizaciones que instalen gestores de contraseñas en todos los dispositivos conectados, incluidos equipos de escritorio, portátiles, tablets y smartphones. Estas instituciones son a menudo son de cibercriminales debido a que crean y almacenan valor. Si garantizas la seguridad de las cuentas, reduces las opciones de un ciberataque que bloquee las operaciones.

¿Por qué usar el almacenamiento de contraseñas?

En un entorno de trabajo conectado, las empresas suelen necesitar usar un gran número de cuentas online. Puede ser difícil controlar las credenciales de todas esas cuentas. Esa dificultad aumenta la probabilidad de que los usuarios flaqueen en su enfoque sobre la ciberseguridad y dejen a las empresas, y a ellos mismos, en una situación vulnerable frente a un ciberataque.

Eso sucede principalmente de dos formas a la hora de configurar y registrar credenciales de inicio de sesión sin una solución de almacenamiento de contraseñas. La primera forma es el uso compartido de credenciales. Se produce cuando los usuarios emplean el mismo nombre de usuario o contraseña para diferentes cuentas. Ese uso compartido hace que sea más fácil recordar las credenciales, pero deja a las organizaciones en una posición de vulnerabilidad. La otra forma en que los usuarios relajan la seguridad en la creación de contraseñas tiene que ver con la debilidad de dichas contraseñas. Las contraseñas poco seguras son simples y fáciles de recordar, pero primar la comodidad frente a la ciberseguridad es toda una invitación a los ciberataques.

En teoría, es posible crear y registrar diferentes contraseñas únicas y complejas para las cuentas correspondientes. Sin embargo, este proceso es complicado porque requiere que los usuarios mantengan un registro propio de todas las contraseñas. En una gran organización, es muy posible que alguien deje en casa una contraseña única o la olvide sin más.

Las soluciones de almacenamiento de contraseñas son un buen método para garantizar la seguridad de las credenciales sensibles sin complicar el funcionamiento de la empresa. Las organizaciones que utilizan normalmente varios dispositivos pueden usar un único almacén de contraseñas para sincronizar múltiples contraseñas en diferentes dispositivos.

Los gestores de contraseñas te defienden frente a amenazas de ciberseguridad

El almacenamiento de contraseñas es una necesidad en un entorno de trabajo conectado. Las empresas que no disponen de un gestor de contraseñas seguro son vulnerables a diferentes ciberataques. Por ejemplo, a la inserción de credenciales y a los llamados password spraying.

Estos dos tipos de ataques pertenecen a los denominados ataques basados en la identidad. Como sugiere el nombre, estos ataques se dirigen a la identidad del objetivo, incluido el nombre de usuario y la contraseña. De acuerdo con el equipo de Threat Hunting CrowdStrike Falcon OverWatch™, aproximadamente el 80 % de las brechas se producen por problemas con la identidad. Por ello, el almacenamiento de las contraseñas es una parte importante de una estrategia sólida de ciberseguridad.

En la inserción de credenciales, el cibercriminal roba credenciales de inicio de sesión de un sistema e intenta usarlas para acceder a otro sistema completamente diferente. Esta táctica está bastante extendida porque a menudo se usan credenciales similares para diferentes cuentas. Por ejemplo, es posible que un usuario emplee la misma contraseña para entrar en su cuenta bancaria, tarjeta de crédito y redes sociales. Aunque este enfoque es muy cómodo para que el usuario recuerde sus credenciales, también genera un riesgo de seguridad. Para evitar la inserción de contraseñas, es imprescindible que cada cuenta tenga una contraseña única.

La inserción de credenciales se ha vuelto muy habitual en los últimos años, ya que se han robado o filtrado decenas de miles de millones de nombres de usuario y contraseñas. Otro factor que ha acelerado el uso de la inserción de credenciales es el avance de la tecnología. Los bots se pueden programar fácilmente para realizar este tipo de ataque. Por último, el cambio al trabajo en remoto durante la pandemia de COVID-19 pilló a muchas empresas con la guardia baja y sin unas prácticas de ciberseguridad sólidas.

La táctica "password spraying" es algo diferente. En este caso, el atacante intenta acceder a varias cuentas en la misma aplicación con la misma contraseña. Los atacantes son personas u organizaciones decididos a causar daños en el ámbito digital, que han desarrollado la táctica de "spraying" porque les permite evitar bloqueos de cuentas.

Si el atacante intentara introducir múltiples contraseñas diferentes en una misma cuenta, esta se bloquearía. Sin embargo, con esta táctica puede sortear este impedimento. Esta forma de ataque con fuerza bruta, un enfoque de ensayo-error hasta dar con las credenciales de un inicio de sesión, es especialmente útil contra empresas que intercambian contraseñas.

Las soluciones de almacenamiento de contraseñas ayudan a proteger a las empresas tanto frente a la inserción de credenciales como al "password spraying". Resulta complicado que todos los empleados lleven un registro de las numerosas contraseñas, todas únicas, pero un gestor de contraseñas sí que puede realizar esta tarea. El gestor de contraseñas se asegura de que las contraseñas no coincidan ni se solapan, y hace que el ataque sea imposible.

Los gestores de contraseñas también son útiles en la defensa frente a la táctica de "password spraying". Una solución sólida de almacenamiento de contraseñas usa patrones complejos de alta seguridad que dificultan o impiden su revelación. Los equipos de TI también se pueden defender de estos ataques si establecen la detección de inicios de sesión y aplican directivas de bloqueo estrictas.

Diferentes tipos de gestores de contraseñas

Debido a que solo requieren una credencial para que los usuarios inicien sesión en varias cuentas, los gestores de contraseñas representan una solución de inicio de sesión único. El inicio de sesión único, también llamado SSO, se usa mucho por parte de usuarios, empresas y administraciones por su incomparable comodidad. Sin embargo, no todas las soluciones de SSO son seguras. Lo mismo se aplica a los gestores de contraseñas.

Hay muchos gestores de contraseñas disponibles en el mercado, cada uno con diferentes características. Mientras que algunos tienen una importancia menor, otros resultan completamente críticos para la ciberseguridad. Al elegir el conjunto de características correcto, las empresas se aseguran de que todo el mundo use una contraseña segura. El mejor gestor de contraseñas es el que ofrece a la empresa las características que necesita a un precio óptimo.

Cifrar o no cifrar

El cifrado es una característica básica de cualquier gestor de contraseñas. Una solución de almacenamiento de contraseñas no vale para nada si no cuenta con un buen cifrado. El almacén de contraseñas del gestor tiene que estar cifrado o hará más daño del que pretende eliminar, ya que facilitará el trabajo al atacante para hacerse con todas las contraseñas de una tacada.

Solución integrada o independiente

Algunos gestores de contraseñas ofrecen una integración completa con navegadores, en forma de plugin. Esta integración es recomendable porque permite rellenar los formularios automáticamente en el navegador, lo que facilita al máximo los inicios de sesión. Aún así, la integración en el navegador puede suponer un riesgo para la seguridad, por lo que su idoneidad debe evaluarse caso por caso.

Local o en la nube

Los gestores de contraseñas basados en la nube se consideran mejores que los locales porque permiten iniciar sesión fácilmente en una cuenta desde cualquier dispositivo. Una solución de almacenamiento local solo funcionará en un dispositivo, lo que limita su utilidad en un entorno de trabajo moderno.

Al igual que en la integración en el navegador, las herramientas basadas en la nube presentan sus propias vulnerabilidades. Por lo general, un gestor de contraseñas con un buen cifrado será más seguro que una solución equivalente basada en la nube. Las empresas tienen que valorar la comodidad y seguridad que necesitan a la hora de elegir el gestor de contraseñas más apropiado.

Generación de contraseñas

La generación de contraseñas es otra característica muy valorada en cualquier solución de almacenamiento de contraseñas. Un buen generador contará con un algoritmo que dará lugar a contraseñas aleatorias. Las empresas se valen de la generación de contraseñas para evitar el uso de contraseñas poco seguras y garantizar unas credenciales únicas y sólidas.

Aunque pueda parecer imposible, la generación de contraseñas aleatorias puede dar lugar a patrones predecibles. Esto se debe a que algunos generadores usan algoritmos pseudoaleatorios. Por eso, algunas herramientas de generación de contraseñas online pueden suponer un riesgo. Los expertos en ciberseguridad recomiendan usar un generador de código abierto; es más seguro porque puede cualquier usuario puede auditarlo. También se puede usar un gestor de contraseñas que pueda verificar que su algoritmo genera contraseñas realmente aleatorias.

Autenticación multifactor

La autenticación multifactor, o MFA, es la norma en sectores como las finanzas, la salud o los cuerpos de seguridad. De hecho, todo aquel que haya utilizado un cajero automático ha usado una autenticación multifactor, porque la combinación de tarjeta y código pin cuenta como dos formas diferentes de verificación a la hora de acceder a una cuenta bancaria. Esta característica es fundamental en una solución de almacenamiento de contraseñas.

Las soluciones de almacenamiento de contraseñas se pueden personalizar para requerir MFA cuando los empleados intentan acceder a datos de la empresa especialmente sensibles. A pesar de que una autenticación MFA no puede garantizar la seguridad de los recursos sensibles, sí que se supone un gran obstáculo para los atacantes.

Hay una forma de autenticación multifactor, la autenticación biométrica, que es cada vez más importante para organizaciones que buscan los estándares más altos de ciberseguridad. La autenticación biométrica puede incluir factores como la identificación ocular o dactilar, y es muy difícil de burlar.

Opciones de almacenamiento

Las soluciones de almacenamiento de contraseñas también cuentan con diferentes opciones de almacenamiento. Las organizaciones de gran tamaño necesitan un almacenamiento de contraseñas ilimitado para evitar brechas de datos. Es crucial que todas las contraseñas guardadas que usan los empleados se almacenen de forma segura. Disponer de la posibilidad de generar y usar contraseñas ilimitadas en múltiples dispositivos permite protegerse frente a brechas de datos.

Ventajas y riesgos del uso de un gestor de contraseñas

Los gestores de contraseñas prometen aunar seguridad y comodidad. Generan un conjunto de contraseñas complejas que garantiza que todas las cuentas de una empresa disfruten de la mayor seguridad. Al almacenar todas las contraseñas en un mismo punto y automatizar el proceso de inicio de sesión, se reduce la cantidad de trabajo que los empleados tienen que realizar. Suena como una combinación ideal.

Sin embargo, los gestores de contraseñas también presentan sus propios riesgos. Algunos expertos en seguridad creen que pueden suponer un problema moral porque hace parecer que los empleados no se preocupan de la seguridad como algo propio. De hecho, todos los empleados que figuran en una cuenta corporativa tienen el deber de contribuir a la defensa de los recursos vitales de la empresa.

Además, los expertos en ciberseguridad apuntan que las empresas son el principal objetivo de los ciberataques, y la centralización que hace que los gestores de contraseñas sean tan atractivos también los convierte en un blanco muy valioso para los ciberdelincuentes. Aunque resulte irrealizable, afirman que el único modo de eliminar el riesgo de ciberataques es usar papel y boli.

Es bien cierto que no hay ningún gestor de contraseñas que no implique una serie de riesgos. Por ese motivo, los expertos recomiendan usar la autenticación multifactor para la contraseña maestra de un gestor de contraseñas. La autenticación MFA garantiza que, incluso si un atacante se hace con la contraseña, no pueda acceder a la cuenta.

Todos los gestores de contraseñas tienen sus límites. Si un ciberdelincuente descubre las credenciales de inicio de sesión y puede acceder físicamente al dispositivo en cuestión, ninguna solución de almacenamiento de contraseñas podrá mantener los datos seguros mucho tiempo. Por eso la seguridad física es un componente muy importante de cualquier estrategia de ciberseguridad.

Conceptos sobre los gestores de contraseñas basados en navegador

Los principales navegadores web cuentan con un gestor de contraseñas integrado. Estas soluciones son muy cómodas, y la mayoría ofrece autorelleno en formularios. Sin embargo, carecen de las protecciones de seguridad indispensables para una empresa que pretenda garantizar la seguridad de su información sensible.

Por ejemplo, la solución de almacenamiento de contraseñas de Google Chrome y Microsoft Edge almacena las contraseñas sin cifrar en el disco duro del dispositivo. Eso significa que cualquier ciberdelincuente con acceso al disco duro tendrá acceso también a todas las contraseñas del usuario. A no ser que el propio disco duro esté cifrado, estas herramientas crean una vulnerabilidad muy grave ante ciberataques. El gestor de contraseñas de Google Chrome y Microsoft Edge puede almacenar contraseñas seguras, pero no las puede proteger eficazmente frente a ciberataques.

Algunos gestores de contraseñas basados en navegador, como el de Mozilla Firefox, sí que tiene cifrado. En cambio, el gestor de Firefox no dispone de generador de contraseñas, lo que puede favorecer el uso de contraseñas no seguras en las empresas. Además, tampoco se sincroniza entre plataformas porque Firefox no se sincroniza en dispositivos iOS. Si pensamos que el trabajo en remoto probablemente sea fundamental en los próximos años, eso puede suponer un problema de seguridad grave.

Configuración de un gestor de contraseñas

Los gestores de contraseñas son muy fáciles de configurar. La parte más importante del proceso está en la contraseña maestra. Puesto que es la llave a toda la información de cuentas de una empresa, es completamente crucial que sea una contraseña compleja. Una herramienta de generación de contraseñas aleatorias puede crear dicha contraseña.

No es mala idea guardar la contraseña maestra como antaño, en papel. Se recomienda la autenticación multifactor para iniciar sesión en el gestor de contraseñas. En algunos casos, es posible que la autenticación biométrica sea la mejor opción para la contraseña maestra. De ese modo, incluso si el atacante se hace con la contraseña maestra, no podrá ver la información protegida de la empresa.

Sin embargo, es muy importante destacar que los ciberdelincuentes más sofisticados han descubierto formas de saltarse la autenticación MFA. Por ejemplo, un estudio de CyberArk Labs ha demostrado que se pueden extraer datos sensibles de la memoria del navegador Chrome. Es algo que solo se puede hacer si el atacante tiene acceso físico al dispositivo que ejecuta Chrome, por lo que se necesita un fallo de seguridad de las instalaciones para que suceda. Aún así, la posibilidad es preocupante porque implica que si un dispositivo se extravía, un ciberdelincuente avispado puede obtener acceso a otros dispositivos, incluso si dichos dispositivos incluyen autenticación MFA.

El siguiente paso es usar el generador de contraseñas de la solución de almacenamiento para cambiar las contraseñas frágiles por otras más seguras. Todas las cuentas de empresa deben estar protegidas por credenciales seguras. Muchas soluciones de almacenamiento de contraseñas cuentan con un evaluador de seguridad integrado que valora la seguridad de las contraseñas y recomienda cambios si es necesario.

Debido a la popularidad de la inserción de credenciales, no se debe compartir contraseñas entre diferentes cuentas. Las soluciones de almacenamiento de contraseñas deben poder revisar las contraseñas del usuario para identificar y modificar duplicados.

Además de almacenar credenciales sensibles, muchos gestores de contraseñas permiten almacenar datos como los números de tarjetas de crédito. El cifrado garantiza la integridad de estos importantes datos. Las empresas pueden optar por usar estas funciones para optimizar el uso y el intercambio de información.

Puesto que los móviles forman parte de un personal conectado, es importante configurar el gestor de contraseñas en todos los dispositivos que tengan acceso a información de la empresa. Los teléfonos y las tablets pueden actuar como puertas de entrada a diferentes cuentas, por lo que no se puede permitir que los empleados registren las credenciales en sus dispositivos, y menos aún si lo hacen de un modo no seguro.