Descubrir que su administrador de contraseñas ha sido violado puede provocar un escalofrío.
Por ejemplo, muchos usuarios de LastPass se apresuraron en diciembre de 2022 debido a la noticia de que la empresa había sido violada varias veces.
¿Qué debe hacer si se viola su administrador de contraseñas? ¿Significa esto que todas tus contraseñas se venden en la Dark Web?
En general, no. La buena noticia es que los administradores de contraseñas de calidad tienen varias características (como un cifrado súper fuerte) que hacen que sea casi imposible para los ciberdelincuentes descubrir sus contraseñas, incluso si ocurre un incidente con la empresa de administración de contraseñas.
Pero debe actuar cuando se entere de cualquier infracción, porque la gravedad de la situación puede no estar clara desde el principio. Esto es lo que te recomendamos que hagas tan pronto como te enteres de un hackeo de administrador de contraseñas.
Qué hacer ahora mismo
Si se le notifica que su administrador de contraseñas ha sido víctima de una violación o piratería, debe actuar rápido para asegurarse de que su bóveda de contraseñas permanezca bien cerrada. Los administradores de contraseñas de calidad tienen funciones que están destinadas a mantener sus contraseñas seguras incluso si la empresa es violada, pero siempre es mejor tomar precauciones.
Para la mayoría de las personas
Si usa un administrador de contraseñas y son atacados, cualquier administrador de contraseñas honrado lo alertará sobre el problema y le dirá qué hacer para minimizar su riesgo.
Por lo general, le recomendamos que cambie la contraseña maestra a su administrador de contraseñas si la empresa fue violada. A continuación, se explica cómo crear una contraseña heroica de administrador de contraseñas:
- 14 caracteres: Recomendamos que la contraseña de acceso principal del administrador de contraseñas tenga 14 caracteres, que es más larga que las contraseñas de 12 caracteres que solemos recomendar. Esto debe ser algo que puedas recordar pero que no se pueda adivinar fácilmente. Los caracteres adicionales valen la pena porque esta es la contraseña que protege todas sus otras contraseñas.
- Letras, números y símbolos: usa una combinación de letras (mayúsculas y minúsculas), números y símbolos (como $, & y =) en tu contraseña maestra.
- Habilite la autenticación multifactor: activar la autenticación multifactor, o MFA, agrega un nivel de seguridad completamente diferente a su cuenta. Con muchos administradores de contraseñas, MFA toma la forma de enviar un código a una aplicación independiente, o el administrador de contraseñas enviará un mensaje de texto con un código de autenticación a su teléfono.
Para empresas y organizaciones
Si el proveedor de su administrador de contraseñas anuncia que ha sido violado, siga inmediatamente sus procedimientos de respuesta a incidentes después de que su equipo de seguridad haya evaluado el riesgo. Siga los consejos de su equipo de seguridad y asegúrese de comunicar estos consejos a todos sus empleados.
Si tienes un gestor de contraseñas pero no cuentas con ningún profesional de la seguridad dedicado, sigue los consejos que hemos descrito para particulares.
Cómo los buenos administradores de contraseñas mantienen tus contraseñas seguras
Aquí hay algunas formas en que los administradores de contraseñas de calidad mantienen sus contraseñas bloqueadas, incluso si la propia empresa es violada de alguna manera. Busque estas características cuando compare sus opciones.
- Cifrado: Los gestores de contraseñas de calidad cifran todas las contraseñas almacenadas en ellos, independientemente de si las contraseñas están almacenadas en su dispositivo o en los servidores de la empresa. Esto significa que sus contraseñas son casi imposibles de decodificar si un pirata informático intenta violar su administrador de contraseñas. El único acceso a sus contraseñas en un administrador de contraseñas es con su contraseña maestra, que debe ser conocida por una sola persona: usted.
- Conocimiento cero: Como su nombre indica, el conocimiento cero significa que un gestor de contraseñas no sabe cuáles son sus contraseñas: la empresa no almacena las claves necesarias para descifrar la contraseña principal que desbloquea su bóveda ni ninguna de las contraseñas almacenadas en ella. Esto significa que su contraseña principal nunca se guarda en los servidores del sistema. Tú eres el único que lo sabe, por lo que debes hacerlo fuerte y protegerlo con MFA.
- Autenticación multifactor: Debido a que su bóveda de contraseñas en un administrador de contraseñas es tan valiosa, los mejores administradores de contraseñas ofrecen autenticación multifactor para que inicie sesión. Esto significa que cualquier persona que intente ver sus contraseñas desde un dispositivo desconocido deberá iniciar sesión de varias maneras. Esto puede incluir una identificación facial, escaneo de huellas dactilares, ingresar un código que recibe en un mensaje de texto SMS o aprobar el intento de inicio de sesión en una aplicación separada. Esto crea otro muro alrededor de tus contraseñas, para que sepas que se mantienen más seguras. ¡Habilite siempre MFA para su administrador de contraseñas!
- Más autenticación multifacción: la tienes en tu gestor de contraseñas, pero no te detengas ahí. Habilítelo en todas las cuentas que tenga que lo ofrezcan, como cuentas financieras, correo electrónico y redes sociales.
Por qué los gestores de contraseñas siguen siendo una opción inteligente
Cuando se trata de violaciones del administrador de contraseñas, ¡no tires al bebé con el agua de la bañera! Los administradores de contraseñas son la mejor solución, aunque imperfecta, para generar, almacenar y mantener contraseñas seguras para cada una de sus muchas cuentas en línea. Los administradores de contraseñas son más seguros que los cuadernos, las notas adhesivas y las contraseñas fáciles de recordar. Los buenos administradores de contraseñas incluso lo ayudan a crear contraseñas seguras y únicas para nuevas cuentas en cuestión de segundos. También pueden ayudarlo a identificar contraseñas reutilizadas, débiles o comprometidas y ayudar a cambiarlas.
Incluso si se viola un administrador de contraseñas, aspectos como el cifrado, MFA y el conocimiento cero mantienen sus contraseñas inescrutables para los ciberdelincuentes. Aunque los riesgos persisten, le recomendamos encarecidamente que utilice un administrador de contraseñas.