Enterarse de que tu gestor de contraseñas ha sido comprometido puede causar escalofríos. Por ejemplo, muchos usuarios de LastPass se alarmaron en diciembre de 2022 debido a las noticias de que la empresa había sido comprometida varias veces. 

¿Significa esto que todas tus contraseñas están siendo vendidas en la Dark Web?  

Generalmente, no. La buena noticia es que los gestores de contraseñas de calidad tienen varias características (como el cifrado ultrafuerte) que hacen casi imposible que los ciberdelincuentes descifren tus contraseñas, incluso si ocurre un incidente con la empresa del gestor de contraseñas.  

Pero deberías actuar cuando te enteras de cualquier brecha, porque la gravedad de la situación podría no estar clara al principio. Esto es lo que recomendamos hacer tan pronto como te enteres de un hackeo al gestor de contraseñas.  

Qué hacer ahora mismo 

Si te notifican que tu gestor de contraseñas ha sido víctima de una brecha o hackeo, debes actuar rápido para asegurar que tu bóveda de contraseñas permanezca cerrada con llave. Los gestores de contraseñas de calidad tienen funciones que están destinadas a mantener tus contraseñas seguras incluso si la empresa es comprometida, pero siempre es mejor tomar precauciones.  

Para la mayoría de las personas 

Si usas un gestor de contraseñas y ellos son atacados, cualquier gestor de contraseñas confiable te alertará del problema y te dirá qué hacer para minimizar tu riesgo.  

Generalmente, recomendamos que cambies la contraseña maestra de tu gestor de contraseñas si la compañía fue comprometida. Aquí está cómo crear una contraseña heroica para el gestor de contraseñas: 

1. 14 caracteres de largo: Recomendamos que tu contraseña principal de acceso al gestor de contraseñas tenga 14 caracteres de largo, lo cual es más que las contraseñas de 12 caracteres que usualmente recomendamos. Debería ser algo que puedas recordar pero que no pueda ser fácilmente adivinada.  Los caracteres extra valen la pena porque esta es la contraseña que protege todas tus otras contraseñas.  

2. Letras, números y símbolos: Usa una combinación de letras (tanto mayúsculas como minúsculas), números y símbolos (como $, & y =) en tu contraseña maestra.  

3. Habilitar la autenticación multifactor: Activar la autenticación multifactor, o MFA, añade otro nivel de seguridad a tu cuenta. Con muchos gestores de contraseñas, la MFA toma la forma de enviar un código a una aplicación autónoma, o el gestor de contraseñas enviará un código de autenticación a tu teléfono.  

Para empresas y organizaciones 

Si el proveedor de tu gestor de contraseñas anuncia que ha sido comprometido, sigue inmediatamente tus procedimientos de respuesta a incidentes después de que tu equipo de seguridad haya evaluado el riesgo. Sigue el consejo de tu equipo de seguridad y asegúrate de comunicar este consejo a todos tus empleados! 

Si tienes un gestor de contraseñas pero no tienes ningún profesional de seguridad dedicado, sigue el consejo que te hemos descrito para individuos.  

Cómo los buenos gestores de contraseñas mantienen tus contraseñas seguras 

Aquí hay algunas formas en que los gestores de contraseñas de calidad mantienen tus contraseñas protegidas, incluso si la empresa en sí es comprometida de alguna manera. Busca estas características cuando compares tus opciones.   

• Cifrado:  Los gestores de contraseñas de calidad cifran todas las contraseñas almacenadas en ellos, ya sea que las contraseñas estén almacenadas en tu dispositivo o en servidores de la empresa. Esto significa que tus contraseñas son casi imposibles de descifrar si un hacker intenta comprometer tu gestor de contraseñas. El único acceso a tus contraseñas en un gestor de contraseñas es con tu contraseña maestra, que debería ser conocida por una sola persona: tú.   

• Cero conocimiento:  Como su nombre lo indica, cero conocimiento significa que un gestor de contraseñas no sabe cuáles son tus contraseñas: la empresa no almacena las claves necesarias para descifrar la contraseña principal que desbloquea tu bóveda o cualquiera de las contraseñas almacenadas en ella. Esto significa que tu contraseña principal nunca se guarda en los servidores del sistema. Eres el único que la conoce, así que deberías hacerla fuerte y protegerla con MFA. 

• Autenticación multifactor:  Debido a que tu bóveda de contraseñas en un gestor de contraseñas es tan valiosa, los mejores gestores de contraseñas ofrecen autenticación multifactor para que inicies sesión. Esto significa que cualquiera que intente ver tus contraseñas desde un dispositivo desconocido necesitará iniciar sesión de múltiples maneras. Esto puede incluir un reconocimiento facial, un escaneo de huella dactilar, ingresar un código que recibes en un mensaje de texto SMS o aprobar el intento de inicio de sesión en una aplicación separada. Esto construye otra barrera alrededor de tus contraseñas, para que sepas que están extra-seguras. ¡Siempre habilita MFA para tu gestor de contraseñas! 

• Más autenticación multifactor: La tienes en tu gestor de contraseñas, pero no te detengas ahí. Habilítala en cada cuenta que tengas que la ofrezca, como cuentas financieras, correo electrónico y redes sociales. 

Por qué los gestores de contraseñas siguen siendo una opción inteligente 

Cuando se trata de brechas de gestores de contraseñas, ¡no tires al bebé con el agua del baño! Los gestores de contraseñas son la mejor, aunque imperfecta, solución para generar, almacenar y mantener contraseñas fuertes para cada una de tus muchas cuentas en línea. Los gestores de contraseñas son más seguros que las libretas, las notas adhesivas y las contraseñas fáciles de recordar. Los buenos gestores de contraseñas incluso te ayudan a crear contraseñas fuertes y únicas para nuevas cuentas en cuestión de segundos. También pueden ayudarte a identificar contraseñas reutilizadas, débiles o comprometidas y a cambiarlas. 

Incluso si un gestor de contraseñas es comprometido, aspectos como el cifrado, MFA y cero conocimiento mantienen tus contraseñas indescifrables para los ciberdelincuentes. Aunque los riesgos permanecen, recomendamos encarecidamente usar un gestor de contraseñas.    

Conoce más sobre gestores de contraseñas