Los administradores de contraseñas y la ciberseguridad
12 June, 2015
category: Seguridad en Internet, Seguridad lógica
Por Autumn Cafiero Giusti, editor colaborador, Avisian Publications
Tanto los individuos como las compañías confían en una sopa de letras virtual de nombres de usuario y contraseñas para proteger sus activos y la información personal en línea. Pero puede resultar difícil mantener el control en una multitud de sitios y redes, especialmente cuando los estándares de seguridad dictan que los usuarios mantengan una contraseña compleja y diferente para cada sitio y que las actualicen regularmente.
Incorpore un sistema de gestión de contraseña – una aplicación o servicio de software que ayuda a los usuarios a mantener control de todos sus logins, usualmente asegurándolos bajo una contraseña maestra única. Algunos administradores de contraseñas pueden generar contraseñas únicas y fuertes para el usuario, y otros incluso se conectan automáticamente en sitios web, eliminando la necesidad de que posteriormente haya que recordar o ingresar las contraseñas.
“Siempre hay una relación de compromiso entre seguridad y conveniencia, pero los administradores de contraseñas son una de esas raras herramientas que lo hacen sentir a uno más seguro y facilitan la vida”, opina el experto en seguridad de contraseñas Jeremi Gosney, director general de Sagitta HPC, una firma que ofrece servicios para craquear contraseñas. Gosney es también cofundador de la conferencia de hackers PasswordsCon.
Aunque se ha hablado sobre la muerte de las contraseñas, las compañías de gestión de contraseñas sostienen que este antiguo método sigue siendo la principal forma de autenticación tanto para los individuos como para las empresas, incluso cuando gana en aceptación la autenticación multifactor.
“La realidad es que tomará décadas para que veamos el fin de las contraseñas. Las compañías ahora tienen que ser proactivas”, señala Joe Siegrist, director general y cofundador de LastPass, una herramienta de gestión de contraseñas.
A pesar de sus inconvenientes, las contraseñas se mantienen porque es sencillo en una empresa establecerlas como autenticador y además son fáciles de mantener. No todas las instituciones tienen los recursos para incorporar autenticación biométrica o un sistema de doble factor. “Las contraseñas siguen siendo la solución más rentable que hay en el mercado”, plantea Amber Gott, gerente de marketing en LastPass.
Los métodos de almacenamiento de datos varían
Hay una serie de compañías que ofertan sistemas de gestión de contraseñas y en esencia es muy poco lo que las diferencia. Generalmente esas compañías aplican entre uno y tres métodos distintos para almacenar los datos.
Los sistemas pueden ser basados en nube, basados en computadora personal o incorporados en un navegador web con una base de datos encriptados en un ordenador personal. La mayoría de los sistemas de gestión de contraseñas ofrecen una versión gratuita y una versión pagada, así como un sistema distinto para los consumidores y otro para las empresas.
Los administradores de contraseñas basados en nube se han convertido en los últimos años en los más comunes, con la notable ventaja de contar con la conveniencia añadida que ofrece la nube. “Uno no tiene que hacer nada para sincronizar dispositivos”, señala Gosney. El usuario puede iniciar sesión en un sistema basado en nube desde cualquier lugar mediante el dispositivo de su preferencia, y toda la información de contraseña estará ahí mismo.
“Supongamos que su computadora falla. No tiene que preocuparse porque todo está guardado en la nube, automáticamente se ha hecho una copia de seguridad para usted”, dice Gosney.
La ventaja de los administradores locales de contraseñas o basados en el ordenador, es que la seguridad de esa base de datos está completamente bajo el control del usuario. Algunos tienen dudas en permitir que ese tesoro de datos de login salga de su posesión. Sin embargo, ese control podría ser una desventaja para alguien que no sea muy cuidadoso con su seguridad, apunta Gosney.
Las soluciones locales tienden a tener menos funciones que las alternativas de nube. “Es la funcionalidad básica que uno espera de la gestión de contraseñas. Y algunos lo prefieren así”, dice Gosney.
Otra desventaja de los sistemas basados en el ordenador es que no sincronizan enseguida con otros dispositivos. Aunque algunas plataformas ofrecen un plugin que posibilita la sincronización, los usuarios modernos que acceden a servicios de múltiples dispositivos y ubicaciones pueden considerar como una molestia ese paso adicional.
Con el administrador de contraseñas basado en navegador, la ventaja es que no hay que instalar software. Aparece una ventana emergente preguntando si el usuario quiere salvar la contraseña. La desventaja, señala Gosney, es que si se está ejecutando el sistema operativo, la base de datos de contraseñas está abierta y puede verla cualquiera en la computadora. “Es muy conveniente, pero no es seguro”, añade.
Muchos administradores de contraseñas vienen equipados con una serie de funciones, tales como autenticación de doble factor, la capacidad de llenar con datos personales los formularios en línea, y una opción de chequeo de seguridad que puede detectar si alguna cuenta se ha comprometido o si se están utilizando contraseñas duplicadas o débiles.
Nube versus PC
LastPass contribuyó a la introducción de la gestión basada en nube, dice Gott. Ayuda a los usuarios a recordar cualquier información que quieren almacenar digitalmente, hacer copia de seguridad o encriptar – todo, desde las contraseñas hasta los números de tarjeta de crédito y la información de miembro para las tarjetas con millas aéreas. Facilita el llenado automático de formularios, y además protege las notas y otras informaciones digitales. “Realmente es una ayuda para gestionar la vida en línea”, señala.
LastPass sincroniza a través de la nube, pero la contraseña maestra nunca abandona el dispositivo del usuario.
Una función de reciente creación realiza automáticamente, a nombre del usuario, el cambio de las contraseñas en los más de 70 sitios webs compatibles. Por ejemplo, si un usuario quiere cambiar la información de login en el sitio web de Home Depot luego de producirse una violación de datos, LastPass va a homedepot.com, va a la página de configuración de la cuenta, crea una nueva contraseña y salva todos los cambios. “Queremos lograr que la tarea de cambiar contraseñas sea lo más sencilla posible”, explica Gott.
Mientras que algunos de los más recientes administradores de contraseñas las guardan de forma predeterminada en la nube, el administrador de contraseñas RoboForm las guarda en la computadora del usuario y da la opción de almacenarlas en la nube. RoboForm existe desde el 1999, lo que significa que es uno de los sistemas más viejos de gestión de contraseñas.
“Cuando comenzamos no existía la nube”, dice Bill Carey, vicepresidente de marketing en Siber Systems Inc., la compañía de software que ofrece la plataforma RoboForm.
El usuario puede ejecutar RoboForm en “modo escritorio” en una computadora, o en “modo en cualquier lugar” (everywhere mode), que coloca una copia de la información en la nube de manera que se pueda sincronizar con otros dispositivos. “Nos gusta darle a la gente la opción de dónde situar sus datos. Pensamos que eso es importante”, añade Carey.
RoboForm crea un archivo de navegador – similar a un “bookmark” – que mantiene seguimiento de todos los sitios a los que usted se conecta regularmente. Si hace clic en Facebook en esa lista de logins, RoboForm lo lleva al sitio web de Facebook, ingresa su nombre de usuario y contraseña, y pulsa el botón “Enviar” por usted. “Es como poner los bookmarks a funcionar al máximo”, dice Carey.
Muchos administradores de contraseñas ofrecen versiones tanto libres como premium para uso personal y comercial, con versiones pagadas que están entre $20 y $30 anuales por usuario.
“Creo que es muy importante que los administradores de contraseñas tengan una opción gratuita, de modo que los usuarios puedan palpar y sentir, y observar cómo funcionan. Porque una vez que tienes un administrador de contraseñas, no vas a regresar al viejo modo de hacer las cosas”, dice Carey.
Aunque los administradores de contraseñas más nuevos están trasladando las contraseñas a la nube y asegurando un host para otras informaciones personales, uno de los innovadores en el espacio prefiere mantener un enfoque minimalista. El tecnólogo Bruce Schneier creó PasswordSafe hace más de una década como una forma simple y gratuita para que los usuarios almacenaran y controlaran sus contraseñas. Desde entonces, él deliberadamente no ha añadido ninguna función a esa solución, pese a que otros sistemas están haciendo exactamente lo contrario. “Los sistemas más complicados tienen problemas de seguridad”, dice Schneier, quién ahora es director de tecnología de Co3 Systems, que produce software de coordinación de respuesta instantánea.
El concepto de PasswordSafe es sencillo: Un usuario coloca todas las contraseñas en una base de datos y las codifica con una contraseña maestra única. Hay una sola versión de PasswordSafe para los consumidores y las compañías, y es gratuita. “Almacena contraseñas. Crea contraseñas. Es lo que es”, señala.
Schneier dice que añadir más funciones, como por ejemplo el autollenado de páginas de dirección o la capacidad de desplazar contraseñas entre dispositivos, podría introducir una serie de riesgos de seguridad. “Hay montones de opciones que podría haber añadido y decidí no hacerlo, con toda intención”, explica.
¿Es suficiente con la gestión de contraseñas?
Cuando se trata de seleccionar un sistema de gestión de contraseñas, algunas empresas posiblemente querrían favorecer una mejor seguridad en lugar de la conveniencia, o viceversa.
Gosney recomienda adoptar un enfoque basado en riesgo, y advierte que añadir más pasos al flujo normal de trabajo del usuario puede hacer que éste no lo utilice. “Usted no querrá que un administrador de contraseñas represente un paso adicional o una molestia. Uno o dos pasos extra suelen ser uno o dos más de la cuenta”, dice Gosney.
Carey considera que un sistema de administración de contraseñas puede resolver los mismos problemas para las empresas que las soluciones integradas de inicio de sesión único, pero por una fracción del costo. Eso se debe a que los sistemas de gestión de contraseñas están diseñados para situarse encima del software que ya existe en la compañía, explica.
Además, una compañía tendría que ajustar toda su infraestructura para poder trabajar con complejo motor de inicio único de sesión, mientras que un sistema de gestión de contraseñas se instala y el mismo día ya está en plena función.
“Uno puede instalar y poner a funcionar un sistema de gestión de contraseñas en cuestión de días, mientras que demora meses hacerlo con una solución de inicio único de sesión”, dice Carey.
Gott añade que las organizaciones que utilizan un sistema de inicio de sesión única pueden también beneficiarse acoplándolo con la gestión de contraseñas. El sistema secundario ayuda a cubrir cualquier laguna en sitios o servicios que no esté cubierta por el inicio de sesión única.
Y aunque la autenticación de dos factores podría ser ideal, Gott plantea que cambiar de forma masiva la forma en que la gente se autentica puede tomar un largo tiempo. Gott hace énfasis en que la contraseña no va a desaparecer pronto.
“Si las compañías quieren proteger sus activos y sus ganancias, necesitan invertir en un administrador de contraseñas, porque la realidad es que las contraseñas siguen siendo la principal forma de autenticación”, señala.