Por qué los administradores de contraseñas no son seguros

Correo electrónico, Facebook, Twitter, la página de nuestro banco… Recordar las tropecientas contraseñas necesarias para acceder a lo más divertido y útil de Internet es una tarea casi imposible. Por eso mucha gente comete el error de usar el mismo password para diferentes servicios, una debilidad habitual que los hackers saben aprovechar muy bien: tan solo con romper la seguridad de una página y saber nuestra dirección de correo electrónico tendrán acceso a toda nuestra vida virtual.

Otros muchos recurren a los denominados ‘password managers’ programas que almacenan las diversas contraseñas bajo una sola clave maestra. Para acceder a todas ellas, solo hay que acordarse de un código, no hace falta nada más.

Los piratas informáticos iraníes cada vez son más agresivos y sofisticados, pasando de interrumpir y desfigurar sitios web de Estados Unidos a mejorar en tareas de ciberespionaje, dijeron expertos en seguridad. En la imagen de archivo, la palabra "password" se muestra a traves de un cristal de aumento en una pantalla de ordenador, tomada en Berlín, el 21 de mayo de 2013. REUTERS/Pawel Kopczynski/Files

Antes, estos programas guardaban la información en el disco duro, como si fuera un archivo encriptado más. Pero las nuevas generacones de este tipo de software se han convertido en una especie de guardian de Internet. Cuando los instalamos, nos ‘siguen’ por la red ofreciéndonos la posibilidad de guarder nuestras contraseñas.

 [Te puede interesar: Los originales y útiles consejos de seguridad informática de una antigua jefa del FBI]

Por ejemplo, si la escribimos en Facebook, nos preguntará si queremos almacenar la clave para que en la próxima visita el programa lo haga automáticamente por nosotros. Y esto ocurrirá en todas las páginas que nos soliciten un password. Eso sí, para que el sistema funcione siempre tendremos que introducer la clave maestra que controla el ‘password manager’.

El que parece es el invento del siglo también tiene sus problemas: si alguien se hace con la llave principal, estamos perdidos. En teoría, las empresas que han creado estos programas aseguran que son seguros al 100%. Pero una reciente investigación llevada a cabo por expertos de la Universidad de Berkeley en California (EE.UU.) ponen seriamente en duda esta afirmación.

Los problemas encontrados

Los científicos del departamento de seguridad informática analizaron cinco programas de este tipo y encontraron varios problemas "Las causas fundamentales de la vulnerabilidades que hemos hayado son diversas: van desde fallos en la lógica de autorización y malentendidos sobre el modelo de seguridad de diversas páginas web", explican en un artículo que será presentado en el Simposio de Seguridad Usenix en San Diego. La conclusión del estudio es demoledora: los administradores de contraseñas todavía están lejos de ser seguros.

Los cinco administradores de contraseñas analizados fueron LastPass, RoboForm, My1login, PasswordBox y NeedMyPassword. Todos funcionan en Internet y son utilizados por millones de usuarios.

Los investigadores advirtieron a todas las compañías de los problemas que habían encontrado, y casi todas modificaron sus productos para hacerlos más seguros. Incluso una de ellas emitió un comunicado explicando cuál era la vulnerabilidad y cómo la habían corregido.