Incluso con los avances en las prácticas y tecnologías de seguridad, las contraseñas siguen siendo un punto débil en la estrategia de ciberseguridad de las organizaciones. Para ellas, las contraseñas complejas constituyen una parte esencial de esa estrategia, dado que una gestión pobre de claves deriva en la vulnerabilidad de su red informática. Aquí es donde entra en juego el software de gestión de contraseñas.
Según un reporte de Verizon de 2021 sobre filtraciones de datos, las credenciales compartidas y las malas prácticas de gestión de accesos se encuentran entre las principales razones de filtración de datos en todo el mundo.
Pero lo cierto es que hacer un uso adecuado de las contraseñas es muy difícil. De acuerdo a una investigación de NordPass publicada en Security Brief, una persona tiene en promedio alrededor de 100 contraseñas (para constatarlo, solo tienes que buscar las contraseñas guardadas en tu navegador). Y esta cifra aumenta considerablemente para las personas que son administradoras de redes, así como otros profesionales de IT.
Para resolver esas (y otras) cuestiones es que se utiliza un software gestor de contraseñas.
¿Por qué los ingenieros de redes necesitan un gestor de contraseñas?
En términos muy sencillos, los ingenieros de redes requieren un gestor de contraseñas porque hay varias cuestiones fundamentales en juego. Imagina lo que podría suceder si a una persona común, sin perfil tecnológico, le roban las credenciales. Ahora multiplica esas consecuencias por diez, o por cien. Las consecuencias pueden ser múltiples y aún peores si eso le sucede a una persona en el área de tecnología de una empresa.
Los administradores de redes se encargan de la tecnología de organizaciones con al menos 20 miembros –y no hay límite para este número. Son responsables del mantenimiento de la red informática y de garantizar que los empleados reciban servicios informáticos sostenidos y de calidad. Para ello deben mantener la seguridad de la red, evitando posibles amenazas y protegiendo los activos informáticos de la organización.
Por este motivo, disponen de herramientas para supervisar dicha red, acceder de forma remota a los dispositivos de los empleados y resolver los problemas que se plantean, actualizar el firmware de los activos, enviar soluciones de seguridad, etc. En pocas palabras, tienen las “llaves” del castillo que protege a la organización.
Y hay muchas “llaves” en el castillo que deben ser seguras. Es por eso que los administradores de red (responsables de elegir las contraseñas) optan por caracteres especiales, largos, difíciles de acertar y con múltiples números.
Siguiendo con la analogía del castillo, no pueden utilizar una sola “llave” o contraseña para mantener todo el castillo a salvo; necesitarán varias, incluso cientos. Y para una buena gestión de las contraseñas, los administradores de red deben cambiarlas constantemente.
Por supuesto, los profesionales de IT no pueden escribir estas contraseñas en el libro de contabilidad de la empresa o utilizar una app de notas para mantenerlas a resguardo. Tampoco es humanamente posible memorizarlas todas (si se pudiera, esa sería la mejor solución).
Por lo tanto, necesitan un software gestor de contraseñas que les permita utilizar claves largas y complejas, así como cambiarlas constantemente sin tener la necesidad de memorizarlas. Todo lo que se requiere es recordar una contraseña maestra.
¿Qué debe tener un buen gestor de contraseñas?
Algunas de las características que debe tener un buen gestor de contraseñas son:
1. Encriptación
Obviamente no puedes guardar tus contraseñas en un archivo de Word. Para garantizar un estándar de seguridad, un gestor de contraseñas debe ofrecer encriptación como una de sus características ineludibles. De hecho, suelen proveer encriptación AES de 256 bits. Y necesitarás una contraseña maestra para acceder a todas tus claves.
Además, debes asegurarte de que ni siquiera tu proveedor pueda acceder a tus contraseñas si las almacenas en la nube.
2. Autenticación multifactor
No es recomendable confiar solo en una contraseña maestra. De modo que algunos gestores de contraseñas funcionan con aplicaciones 2FA que generan un token para verificar tu identidad, e incluso pueden brindarte la posibilidad de optar por la biometría: en ambos casos esto agrega capas de seguridad.
3. Sincronización con la nube
Algunos gestores de contraseñas están diseñados para funcionar únicamente en un dispositivo. Entonces, para garantizar estándares seguros, debes mantener ese dispositivo completamente offline.
Esto implica que tendrás que llevar dicho dispositivo contigo todo el tiempo y escribir las contraseñas manualmente cada vez que quieras acceder a un servicio o a otro dispositivo. Por tanto, es mejor optar por una solución que pueda sincronizarse con un proveedor de la nube o con su propia nube.
4. Relleno automático, soporte multiplataforma y facilidad de exportar
Si bien estas características no se vinculan directamente con la seguridad, hacen que un gestor de contraseñas sea más fácil de usar. Así, la mayoría de los gestores de contraseñas ofrecen la función de autocompletar, lo que significa que no tienes que escribir las largas y complejas contraseñas, ni siquiera copiarlas y pegarlas cada vez que tengas que iniciar sesión.
En tanto, con el soporte multiplataforma puedes acceder fácilmente a tus contraseñas en tu teléfono, laptop u otros dispositivos de forma sencilla. También permite recuperar las contraseñas en caso de que el gestor de contraseñas deje de funcionar.
Así lo explica el usuario de Reddit, malikto44: “De esta manera, puedo encender una VM, volcar todas las contraseñas en un archivo de texto, encriptarlo con GPG y limpiar la VM cada cierto período de tiempo para obtener una copia de seguridad. Así, si el gestor de PW deja de ser compatible u obstaculiza las entradas de sincronización, todavía puedo recuperar tanto las contraseñas como las claves secretas de 2FA”.
Además, al exportar tus contraseñas a otros formatos, como texto plano, CSV o JSON, podrás importarlas a distintos dispositivos offline para utilizarlas allí.
5. Funciones multiusuario
Ya sea para toda la organización o solamente para un equipo, los gestores de contraseñas tienen funciones multiusuario, con las que se puede gestionar el acceso, establecer normas para las contraseñas y recibir alertas en caso de intentos de inicio de sesión sospechosos.
6. Asistencia al cliente
La mayoría de los gestores de contraseñas ofrecen algún tipo de soporte como correo electrónico, aunque este no es suficiente. En este punto, es recomendable elegir un proveedor que ofrezca asistencia telefónica o por chat las 24 horas.
¿Cuáles son las desventajas de los planes gratuitos de los software gestor de contraseñas?
Antes de elegir un software gestor de contraseñas gratuito es preciso investigar las desventajas que puede tener, ya que migrar a uno nuevo -en el caso que no resulte te resultará bastante complejo.
Aquí enumeramos algunas de sus contras:
- Menos funciones: muchos gestores de contraseñas ofrecen una versión gratuita de su solución que puede ser suficiente en algunos escenarios limitados. Pero algunos proveedores no brindan funciones clave (como la sincronización entre dispositivos) o ponen límites al número de contraseñas para guardar.
- Sin soporte multiusuario: otro factor fundamental es que la mayoría de los gestores de contraseñas no ofrecen soporte multiusuario en sus planes gratuitos. Nuevamente, aunque esto pueda resultar poco importante al principio, cobrará relevancia si decides ampliar e implementar gestores para toda tu organización.
Otras cuestiones importantes a tener en cuenta, más allá de los planes gratuitos que ofrecen algunos software gestor de contraseñas son:
- Historial del proveedor: este punto es un poco más complejo, pero idealmente no quieres trabajar con un proveedor que haya tenido brechas de seguridad en el último tiempo. También te recomendamos investigar su trato con los clientes, políticas de seguridad y noticias recientes vinculadas a la compañía y a sus productos.
- Un ejemplo en este punto es el del popular gestor de contraseñas Lastpass,que ha hecho cambios en su plan gratuito. Ahora solo permitirá a sus usuarios sincronizar entre los mismos tipos de dispositivos (ya no se podrá hacer esto entre celulares y laptops).
- También puede ocurrir que se realicen cambios en las prestaciones cuando una empresa de software gestor de contraseñas es comprada por otra. Por ejemplo, a raíz de la adquisición de Myki, popular gestor de contraseñas, se decidió suspender la mayoría de sus productos. Esto significa que las organizaciones que los utilizaban tendrán que migrar a nuevas soluciones.
- Interfaz de usuario: a pesar de considerarse un aspecto menor para el uso personal, la interfaz de usuario cobra importancia en las tasas de adopción del software. Porque si el software gestor de contraseñas no es fácil de usar, los empleados pueden volver a emplear contraseñas simples u otras prácticas poco recomendables, en desmedro de la seguridad de la organización.
Del mismo modo, funciones como el autocompletado, la autenticación biométrica y una interfaz de usuario clara mejorarán la experiencia del usuario y animarán a los empleados a utilizarlas. Lo ideal es que el gestor de contraseñas se integre al workflow y no parezca como una tarea adicional.
¿Cuál es el mejor software de gestión de contraseñas?
Bitwarden
Uno de los principales gestores de contraseñas utilizan los ingenieros de redes es Bitwarden. Es de código abierto y encriptado de extremo a extremo AES de 256 bits. Además, tiene un programa de bug bounty para detectar errores y realizan auditorías de seguridad anuales con un actor externo.
Bitwarden ofrece planes gratuitos para uso individual y para un equipo de dos personas (amigo o socio), que incluyen sincronización a través de un número ilimitado de dispositivos y tipos de dispositivos, funcionan para navegadores, y ofrecen apps tanto de celulares como de desktop.
Asimismo, brinda 2FA para todos sus planes, pero tiene opciones de 2FA mejoradas como Yubikey en sus planes premium. Los planes de pago también vienen con priority support.
KeePass
Se trata de un gestor de contraseñas completamente gratuito y de código abierto.
Tanto el sitio web de KeePass como su interfaz pueden resultar poco amigables. Es que se centraron más en la función que en la forma. De todos modos, la solución es un poco técnica, por lo que puede ser inapropiada para el usuario medio.
Además, el soporte proviene principalmente de los foros de la comunidad. Y aunque se puede utilizar en múltiples plataformas, fue diseñado para sistemas Windows.
Dicho esto, KeePass es rico en características, soporta múltiples usuarios e incluso viene con una versión portátil que se puede llevar, simplemente conectar y usar sin necesidad de instalación.
Thycotic
Otro de los que componen la lista de los mejores gestores de contraseñas es Thycotic, que ofrece una gama de productos para la gestión de contraseñas y accesos.
Permite un acceso seguro y controlado a las IT de la organización, ayudando a gestionar el acceso y el pase de contraseñas si las personas dejan la organización o, por el contrario, ingresan a la misma.
Según el usuario de Reddit cryptsyryus, que utiliza Thycotic Secret Server para la gestión de contraseñas, "puede hacer MUCHO más que almacenar sus ‘secretos’ como PIM, Rotación de Contraseñas para el Equipo de Red y cuentas de servicio AD”.
Las soluciones de Thycotic están diseñadas para la gestión de IT de la empresa, integrándose perfectamente con su workflow y procesos de IT. Dispone de una gama de herramientas informáticas gratuitas con las que evaluar y gestionar las herramientas de seguridad de la organización. También ofrece una serie de opciones de asistencia y pruebas gratuitas de algunas soluciones.
1Password
Con una serie de características orientadas a garantizar seguridad, 1Password es un popular gestor de contraseñas.
Así, los administradores pueden integrar 1Password con las soluciones existentes en el lugar de trabajo, personalizar los controles de acceso y crear cuentas de invitados según sea necesario.
Además, la solución brinda informes personalizados que permiten monitorear las amenazas e identificar las brechas de seguridad. Además, es compatible con los principales navegadores y cuenta con apps para iOS, Android, Windows, Linux y macOS.
1Password dispone de una contraseña maestra para asegurar tus contraseñas en tu dispositivo y una clave secreta para las contraseñas en la nube.
En caso de que encuentres alguna dificultad, la herramienta cuenta con una detallada base de conocimientos, soporte por correo electrónico y Twitter, y un soporte VIP para planes Business.
También ofrece una prueba gratuita antes de adquirir el software.
Roboform
Otro gestor de contraseñas popular y con muchas funciones es Roboform. Cuenta con apps para Android, iOS, Mac, Windows y los navegadores más populares, autenticación multifactorial y está encriptado con AES 256 bits.
En caso de que te encuentres con alguna dificultad, Roboform tiene una base de conocimientos y un soporte online las 24 horas, los siete días de la semana, los 365 días del año.
La solución también trae un generador de contraseñas, que ayuda a crear claves fuertes y seguras al instante.
Para uso personal, la autenticación de 2 factores y la sincronización entre los dispositivos solo están disponibles en el plan de pago. Y para el uso empresarial, ofrece suscripciones anuales pero puedes acceder a una prueba gratuita de 14 días para un máximo de 30 usuarios.
Codebook
Con un pago único para cada plataforma, Codebook es un popular gestor de contraseñas.
Disponible para Android, iOS, Windows y Mac, tiene un cifrado AES de 256 bits y es completamente de código abierto. También ofrece una versión para empresas con posibilidades de personalización.
Es posible que sea uno de los gestores de contraseñas más antiguos que existen, ya que fue diseñado por primera vez en 1998.
Este gestor de contraseñas funciona offline, pero se puede sincronizar en varios dispositivos a través de Wifi o de la nube.
La solución también permite importar o exportar las contraseñas, viene con soporte de autenticación de dos factores y un generador de contraseñas.
Preguntas frecuentes
¿Qué es un gestor de contraseñas?
Un gestor de contraseñas es un software utilizado para almacenar contraseñas de forma segura. Allí puedes guardar todas tus claves, y el gestor de contraseñas las encriptará a su vez con una clave maestra. Por lo tanto, para acceder a tus contraseñas tienes que introducir tu clave maestra.
¿Qué características debe buscar un ingeniero de redes en un gestor de contraseñas?
Los gestores de redes deben buscar los más altos estándares de seguridad a la hora de elegir un gestor de contraseñas.
Además, el gestor de contraseñas tiene que ser compatible con la autenticación multifactorial, la sincronización entre dispositivos y debe contar con funciones completas de control de acceso.
El proveedor también tiene que acreditar sólidas prácticas de seguridad y privacidad, y contar con un buen historial sin brechas de seguridad u otros problemas.
Para facilitar su uso, el gestor de contraseñas tendrá que ser compatible con múltiples dispositivos, contar con una buena interfaz de usuario y con la función de autocompletado de claves.