• Atención telefónica: (777) 246-6369 y (777) 246-6396
  • Soporte Técnico 24/7
31May, 2024
0
los expertos dicen que ceder la confianza a Google Chrome (o cualquier otro navegador) a gestionar tus contraseñas es una verdadera mala idea. Aquí te decimos el por qué.

No permitas que Google gestione tus contraseñas

Los programas de gestores de contraseñas han existido desde la década de los 90’s y los navegadores principales han implementado gestores de contraseñas como una función nativa a principios de los 2000’s, justo alrededor de los años en los que se fundó SuEspacio.net. Desde entonces, se ha recomendado en mantener tus contraseñas lejos del almacenamiento inseguro del navegador y las aloje mejor en un gestor de contraseñas adecuado y bien protegido. Antes, podríamos apuntar a los gestores de contraseñas que extraían las contraseñas del navegador, las eliminaban del navegador y desactivaban las capturas y generadores de contraseñas del navegador. Eso sí que no suena seguro.

 

Afortunadamente, los navegadores han progresado y ya no dejan tu contraseña tan expuesta a manipulación externa. Si quieres cambiar a un gestor de contraseñas dedicado, por ejemplo, probablemente tendrás que exportar las contraseñas de tu navegador a tu nuevo producto.

 

Pero, ¿los navegadores han hecho el progreso suficiente como para recomendar que alojes tus contraseñas con ellos? Específicamente, ¿deberías de utilizar el Gestor de Contraseñas de Google, el cual está convenientemente anclado a Chrome? De acuerdo con los expertos y a la mía, la respuesta es un rotundo NO.

 

Incluso Los Gestores de Contraseñas Pueden Filtrarse

Para una compañía que está basada en la gestión de contraseñas, la confianza lo es todo. Los contendientes utilizan técnicas de cero conocimiento para proteger tus datos encriptados para que nadie (ni siquiera la empresa quién desarrolló el gestor de contraseñas, el gobierno, ni nadie) pueda descifrar tu contraseña maestra ni tus datos encriptados.

 

Incluso, los errores en la implementación pueden poner en riesgo la seguridad de las contraseñas. En unas series de revelaciones empezando desde el agosto pasado, hemos aprendido que los hackers comprometieron una clave de una de las computadoras de un empleado de LastPass para robar un número desconocido de Vaults (baúles) de datos encriptados. Peor aún, algunos elementos de datos importantes como inicios de sesión para dominios no estaban encriptados. Ahora está difícil confiar en LastPass.

 

KeePass es el gestor de contraseñas favoritos de los técnicos, en algo, debido a las infinitas posibilidades de personalización. Sin embargo, esa misma personalización ha sido revelada como una especie de Talón de Aquiles. Cualquiera quien tenga acceso a tu computadora, ya sea por un Troyano de Acceso Remoto o accediendo directamente en tu ausencia, puede robar todas tus contraseñas de KeePass. Consta de solo utilizar Notepad, escribir ahí una acción que exporte las contraseñas en un texto plano y luego envía los datos a algún servicio ‘drop’ en internet. Lo cierto es que el conseguir el acceso requerido puede ser difícil, pero la tarea es posible. O más bien, era posible. La actualización de KeePass (2.53.1) eliminó la opción de exportar las contraseñas sin que antes ingreses una contraseña maestra.

 

Cómo Habilitar o Deshabilitar El Gestor de Contraseñas de Google

Antes de averiguar si es conveniente utilizar el gestor de Contraseñas de Google, revisemos primero cómo podemos deshabilitarlo (o habilitarlo si así lo deseas pero repito NO te lo recomiendo). Primero, asegúrate que tengas habilitado la Sincronización en todas las instancias de Chrome en donde quieras compartir contraseñas. Da click en el menú de tres puntitos en la parte superior de Chrome, luego selecciona ‘Preferencias.’ Por defecto te deja en la sección de Google y Tu, ahí mismo, puedes habilitar la Sincronización.

 

 

Ahora en el menú de la izquierda, ubica la sección de Auto rellenar y da click en Gestor de Contraseñas. Si deseas utilizar el Gestor de Contraseñas de Google, habilita las opciones de Ofrecer a Guardar Contraseñas y Auto Sign-in, Si no, deshabilítalos.

 

¿Qué Dicen Los Expertos Acerca de Los Gestores de Contraseñas de Los Navegadores?

Para complementar nuestros propios conocimientos y experiencias, recurrimos a varios expertos de varias empresas comerciales de gestión de contraseñas reconocidas, entre ellas Craig Lurey, cofundador y CTO de Keeper, Tomas Smalakys, CTO de NordPass y Michael Crandell, CEO de Bitwarden.

 

Los Gestores de Contraseñas de Los Navegadores Son Convenientes Pero Peligrosos

Smalakys inició con una advertencia contra el uso de los gestores de contraseñas de los navegadores, alegando que: “A pesar de las continuas advertencias de los expertos en la ciberseguridad acerca de las vulnerabilidades de los gestores de contraseñas de los navegadores, los usuarios de internet continúan cayendo en la trampa de ‘Pero es conveniente.’” Lurey estuvo de acuerdo, apuntando que en un reciente blog de Keeper puso un listado del por qué los gestores de contraseña de los navegadores no son seguros.

 

La encriptación de cero conocimiento es la razón por la cual los gestores de contraseñas dedicadas mantienen a salvo tus datos, aún sin tener acceso a tu contraseña maestra. “El Gestor de Contraseñas de Google no utiliza encriptación de cero conocimiento,” afirmó Lurey. “En esencia, Google puede ver todo lo que guardas ahí. Tienen una función ‘opcional’ para habilitar encriptación de contraseñas en el dispositivo, pero aun cuando está habilitado, la clave para desencriptar la información está alojada en el dispositivo”-

 

Smalakys concurrió que los datos alojados en el navegador no están protegidos de la forma en la que los datos de un gestor de contraseñas lo hace. “Los hackers utilizan métodos de ingeniería social para engañar a los usuarios de internet a descargar extensiones de los navegadores que pueden extraer fácilmente los datos alojados en el navegador. Mientras no hay nada de malo con el almacenamiento en la nube de contraseñas, la compañía debe de asegurarse que los datos de los usuarios esté encriptados antes de que se alojen en la nube. Por lo tanto, los usuarios de internet deben de escoger un proveedor de servicios que garantice la encriptación punto a punto.”

 

Crandell le echó un hueso a Google diciendo “Cualquier gestor de contraseñas es mejor a no tener gestor de contraseñas, pero la limitación de las contraseñas basadas en gestores de contraseñas de navegador es que trabajan solamente dentro de un jardín amurallado. Si tienes la necesidad de utilizar otro navegador, o algún otro ambiente en donde ese navegador no puede alcanzar, estás fuera de suerte.”

 

Los Gestores de Contraseñas Tienen Más Funciones

Lurey ofreció una lista de formas simples en cual el gestor de contraseña nativo de Chrome no cumple con los estándares de los programas de gestores de contraseñas. Para empezar, es específico de Chrome; si utilizas otro navegador, estás solo. No hay otra opción para compartir contraseñas de forma segura ni para establecer un heredero digital para la colección de contraseñas. El navegador aloja solamente las contraseñas, no datos personales como direcciones, números de cuenta y tarjetas bancarias.

 

Crandell también enmarcó la falta de funciones importantes en sistemas de contraseñas basadas en navegadores. El notó que estos sistemas carecen de “intercambio seguro de contraseñas entre colegas o familiares, soporte para inicio de sesión biométrico y claves de seguridad, avisos de que sus contraseñas son inseguras, reutilizadas o han sido comprometidas o filtradas en la internet, entre otras funciones.”

 

Smalakys dice: “Varios navegadores no requieren de una contraseña maestra o una aprobación de tipo factor multi autenticador (MFA).” Google si permite MFA, pero no lo requiere. Y efectivamente, no existe una contraseña maestra. Si dejas tu PC con Chrome abierto, cualquiera quien acceda puede ingresar a tus cuentas. Lo mismo pasa con tu teléfono.

 

Los Navegadores Te Bloquean

“Ten cuidado en bloquearte a ti mismo en un solo ‘jardín amurallado’ de una sola compañía” advirtió Crandell. “Es importante tener la libertad de trabajar a través de varias plataformas y ambientes. Ya sea navegadores, sistemas operativos de escritorio o móviles”

 

Smalakys apuntó el peligro de las cuentas conectadas: “En un escenario… al utilizar Google Chrome, la seguridad de sus datos depende de qué tan segura sea la cuenta de Gmail asociada. Si tu cuenta de Gmail ha sido comprometida, un ciber atacante podría sin mucho esfuerzo acceder a las contraseñas de todas las demás cuentas guardadas en tu navegador.” En el mismo sentido, Lurey señaló que “el usuario debe confiar plenamente en Google para proteger la información” Si tu cuenta de Google ha sido vulnerada, todas tus contraseñas están en peligro. ¿Ahora mi apreciado lector, comprende porque NO recomiendo guardar las contraseñas con Chrome o cualquier otro navegador que se asocie a tu correo?

 

Un navegador está diseñado para navegar; la gestión de contraseñas es una idea tardía. “Los gestores de contraseñas dedicadas están poniendo todo su esfuerzo en desarrollar un gestor de contraseñas que sea seguro, y va por varias auditorías, en orden para asegurar esa seguridad,” concluyó Smalakys. Crandell mencionó que “Los principales gestores de contraseñas se enfocan al 100% en permitir tanto una seguridad óptima como los múltiples casos de uso de contraseñas, por lo que tienen más funciones.”

 

Debes de: Adquirir un Verdadero Gestor de Contraseñas

El gestor de Contraseñas de Google Chrome no utiliza técnicas de encriptación de cero conocimiento que protegen las contraseñas de todos, incluyendo a la compañía que desarrolló el gestor de contraseñas. Ni siquiera requiere de un uso de una contraseña maestra. Las herramientas de contraseñas dedicadas ofrecen varias funciones que no obtienes en un navegador nativo. Y solamente puedes utilizar el sistema de contraseñas de Google en Chrome (o en su extensión, en Android). Estos son solamente unas pocas razones por las cuales deberías de obtener un gestor de contraseñas dedicado en lugar de irte por Chrome.

 

Es muy conveniente que el Gestor de Contraseñas de Google venga de forma gratuita en un navegador que no te cuesta nada. Sin embargo, esa no es razón suficiente para aceptar una seguridad limitada para tus contraseñas.

 

Mi recomendación es que utilices un gestor externo porque así descentralizas tus contraseñas y puedes utilizar autenticación de 2pasos o multifactor lo que lo hace más fuerte. ¿Cuál es la autenticación de dos pasos y la multifactor? Da clic aquí para conocerla.

 

Artículo redactado por: Ing. Mariano Benitez Sierra.

 

 

¡Comparte! #SuEspacionet
Comments are closed.

Lo + nuevo

Dominios .MX subirán de precio
Ajustes en precios de Dominios .MX
By SuEspacio.net StaffComentarios desactivados en Ajustes en precios de Dominios .MX
En una era en la que las cosas se digitalizan cada vez mas es importante tener un lugar digital en donde se pueda publicitar el negocio, esto incluye a las…Más información..
Porqué una Escuela de Taekwondo debe tener una página web
By Angel SuEspacioComentarios desactivados en Porqué una Escuela de Taekwondo debe tener una página web
Imágen que ilustrar un error en Softaculous y cPanel
Script error: ionCube Loader for PHP en Softaculous con cPanel
By SuEspacio.net StaffComentarios desactivados en Script error: ionCube Loader for PHP en Softaculous con cPanel
Problemas de correo en GoDaddy
Problemas de correo en GoDaddy
By SuEspacio.net StaffComentarios desactivados en Problemas de correo en GoDaddy
Plantillas para Academias de Jiujitsu
Porqué una Academia de Jiu-jitsu debe tener una página web
By Angel SuEspacioComentarios desactivados en Porqué una Academia de Jiu-jitsu debe tener una página web

Categorías

©2000 - 2024 SuEspacio.net México - Precios expresados en pesos mexicanos con IVA incluído. Terminos y Condiciones relativos al servicio. Todos los logotipos y marcas son propiedad de sus respectivos dueños.