Hoy en día la mayoría de servicios en internet nos piden usar contraseñas seguras para poder usarlos. La moda es que nos pidan verificación en dos pasos, pero lo cierto es que cada vez se complica más memorizar y mantener una política correcta de contraseñas. Esto unido a que cada vez existen más servicios a los que nos debemos logar y que nos piden generar una contraseña, ocasiona que al final todo el mundo acabe usando la misma contraseña para absolutamente todo, desde el correo electrónico hasta esa página web que encontraste en google en la que has dejado un simple comentario. En lo personal me costaría pensar en algún conocido que use contraseñas seguras y distintas para cada servicio, y la mayoría de la gente no se da cuenta de que esta actitud es un peligro cada vez mayor.

1) Riesgos de usar contraseñas inseguras.

Y es que la mayoría de la gente desconoce los riesgos de tener la misma contraseña en todos los sitios web.

¿Pero qué me dices? Si yo no tengo nada que esconder. No voy a poner contraseñas distintas en todos los servicios que eso es incomodísimo. Quién se va a interesar por mi. Además yo no tengo nada interesante en mi móvil. Me da igual que alguien me hackee alguna cuenta, que se va a llevar una decepción. 

He perdido la cuenta de la cantidad de veces que he oído eso mismo. Es un planteamiento realmente terrorífico y os voy a explicar por qué.

Veamos un ejemplo. Suponed que tengáis cuentas creadas en varios servicios web. Concretemos el ejemplo: Supongamos que tenéis una cuenta en Gmail, otra cuenta en Amazon y otra en Dropbox.

Habéis puesto una contraseña «segura» en las cuentas (Tiene más de 8 caractéres, letras mayúsculas, minúsculas, números y símbolos), pero habéis cometido la imprudencia de tener la misma contraseña en todos los servicios. Supongamos ahora que un hacker accede al listado de contraseñas de Dropbox. Ese hacker no es que pueda acceder a todos los documentos que tengas almacenados en Dropbox, sinó que al identificarte en dropbox con una cuenta de correo, lo primero que le pasará al hacker por la cabeza es: «voy a probar si con el mismo usuario y contraseña puedo entrar en amazon». Si puede entrar ahí, podrá hacer compras en tu nombre.

No hombre... eso no va a pasar porque soy más listo que él y no compro por internet.

Pues no te preocupes, que también va a poder entrar en cualquiera de los servicios que usas en internet, como tu correo electrónico.

Pues ya ves tú. Si mi correo es el más aburrido del mundo. No tengo nada ahí que le pueda interesar a...

¡¡¡Quieto parao!!! ¿Que os da igual que os entren en el correo electrónico? (Y sí… esto también lo he oído en persona unas cuantas veces). A ver… estamos hablando de hackers, y su trabajo consiste en… bueno… no son hermanitas de la caridad y se dedican a cosas ilegales. Cosas… de hackers. Si no les interesaras no te hackearían la cuenta. Mira… ya que no te importa que entren en tu cuenta, supongo que no te importará que se manden desde tu dirección de correo unos cuantos de cientos de fotos de pornografía infantil a algún otro destinatario. Si viene a tu casa la policía les dices que no has sido tú, que te han hackeado la cuenta ¿Vale? Seguro que no te piden más explicaciones.

Hombre... así visto... Pero es que estás exagerando un montón hombre, que estas cosas sólo pasan en las películas y...

Mira: Dropbox. Año 2012. Una brecha de seguridad en sus servicios permitió que un atacante se llevara todos los usuarios y contraseñas de sus cuentas en texto plano (aquí tienes información sobre este caso en concreto). Esos usuarios y contraseñas fueron publicados en internet y cualquiera con conocimientos mínimos de brujulear por internet puede descargarse el listado (Sí… conocimientos minimos. No tienes que ser un «Bill Gates» para encontrar un listado de estos). El ejemplo que puse al principio fue un caso REAL. Si tenías una cuenta de Dropbox durante esa fecha, si quiero puedo decirte la contraseña… y si sé tu contraseña de dropbox, lo más probable es que sepa más contraseñas de más servicios que estés usando porque estás usando siempre las mismas. Así que voy a probar ese mismo usuario y contraseña primero en tu correo y redes sociales y aprovechar para poner, no sé… ¿propaganda terrorista en tu nombre?. Luego voy a ver si me puedo logar en Tinder y en Grinder (webs para contactos de sexuales)… luego voy a probar en VictoriaMilan (directamente para contactos entre personas «infieles») para ver si te puedo chantajear con algo, y luego…

¡¡¡Para, para!!! No... No pienses mal, que... si es que yo no uso esas pági... estoo... Me estoy empezando a poner un poco nervioso. Pero sólo por lo de la propaganda terrorista, que yo de esas páginas sólo conozco a un amigo que las usa, que yo nunca... Pero... ¿Pero de verdad que estas cosas pasan? A mi no me ha pasado nunca porque...

¿Que si pasan? Lo raro es que tengas un correo asociado a varios servicios y que ninguno de ellos nunca haya tenido una brecha de seguridad. Y sí… lo he escrito bien. Lo más probable es que alguna de tus contraseñas haya sido ya filtrada y ni te hayas enterado. Si aún no te ha pasado lo más probable es que todavía no hayas usado tu cuenta de correo en bastantes servicios de internet. Puedes comprobar si tu correo ha sido comprometido en algún incidente en esta página.

https://haveibeenpwned.com/

Cuando surge alguna brecha de seguridad y alguien publica logins de usuario de algún servicio en internet, esta página se preocupa de descargarse esos listados. No les interesan las contraseñas ni hackear nada, sinó sólo los nombres de usuario. Los añaden a sus listados y te permiten comprobar si tu nombre de usuario ha estado comprometido alguna vez. Mira… esto es lo que me saca la dirección de correo electrónico de una persona a la que acabo de escribir (he cogido el primer correo que he tenido a mano).

Tres alertas de seguridad, y la última de Febrero de este mismo año. Esta persona tenía su correo puesto en tres servicios que fueron vulnerables y su usuario y contraseña ha estado circulando por internet hasta tres veces.

Y mira… hasta tienen un listado de sitios que han tenido filtraciones de contraseñas de sus usuarios recientemente.

https://haveibeenpwned.com/PwnedWebsites

Pero... pero... yo tengo verificación en dos pasos en el servicio que más uso y...

Sí… tienes verificación en dos pasos en algunas páginas, pero eso sólo acarrea inconvenientes. Si por algún motivo pierdes los aparatos en los que te logas puedes tener un problema muy serio para poder acceder a tus cuentas. Y tu contraseña me seguirá funcionando en otros sitios. Te pongas como te pongas, lo ideal es tener contraseñas distinas en todos los servicios que uses y punto. La verificación en dos pasos te puede dar un punto más de seguridad en algunas circunstancias, pero te va a bloquear el servicio cuando menos te lo esperas.

¿sabes qué? Tienes razón. Voy a cambiar mis contraseñas y voy a ponerlas todas distintas. Las voy a ir apuntando en una agenda que tengo aquí... y ésta que acabo de hacer la voy a apuntar en este post-it para...
Me estoy empezando a desesesperar contigo, de verdad. ¿De dónde has salido?

Apuntar las contraseñas en algo «físico», como una agenda, no es una solución correcta. En primer lugar está el problema de la disponibilidad de esa agenda. Imagínate que te vas de viaje y por el motivo que sea debes acceder a una contraseña a la que hace mucho tiempo que no accedes. Si has dejado esa «agenda» en casa tendrás un problema, ya que no podrás acceder a esa información. Si quieres resolver ese problema llevando esa agenda encima siempre, también tendrás un gran problema, puesto que si la pierdes o te la roban, puede ser fatal (no podrías acceder a ninguno de tus servicios).

Tienes razón. Mejor voy a apuntarlas en este archivo de excel o en este otro de word que tengo colgado en mi nube...

Tampoco es una buena solución. Si tienes las contraseñas en un simple archivo de cualquier tipo, si pierdes el dispositivo en el que las consultas, el que lo encuentre podría acceder a ellas. Si las guardas en una nube como Dropbox, Google Drive o OneDrive, una brecha de seguridad en las mismas podría hacer que cualquiera pudiera a acceder a esa contraseña (ya te mostré que eso sucedió con Dropbox hace muy poco).

Espera, espera... pero voy a ponerle una contraseña a ese archivo y...

¿Sabías que las contraseñas de los archivos de office son sencillíííísimas de saltar? Una simple búsqueda en internet puede darte un montón de métodos para obtenerlas, como éste o éste otro. Llega a ser tan trivial obtenerlas que me cuesta creer que la inseguridad de esas contraseñas no sea algo intencionado, premeditado por los desarrolladores de Microsoft para poder acceder de forma sencilla a archivos protegidos (una puerta trasera en toda regla). En mi ámbito profesional me ha tocado alguna vez averiguar contraseñas olvidadas de archivos de office y al final siempre las he acabado sacando sin dar muchas vueltas.

Entiendo... ¿Puedo ponerme ya a correr en círculos agitando los brazos mientras lloro desconsoladamente? Voy a ir avisando a la gente.

Hoy no. Aquí nos dedicamos a dar soluciones y esta problemática tiene una solución sencilla, que es usar un programa específico para gestionar contraseñas.

2) Gestores de contraseñas: por qué keepass.

Existen un montón de soluciones para gestionar contraseñas, pero poniéndonos en un nivel paranoico como el que empezamos a rozar no todas son aconsejables.

La opción más famosa y que oiréis nombrar en cuanto se traten estos temas es la de «1Password«.

Se trata de un sistema para almacenar tus contraseñas de forma segura. Tiene aplicaciones tanto para sistemas de escritorio como para móviles y nos permite algo que es muy cómodo, que es sincronizar todo lo que hacemos con su nube, de forma que si introducimos una contraseña en la aplicación móvil, la tendremos disponible en el ordenador de inmediato.

Ah, genial. Pues nada... me la descargo ya y listo.

¿Pero tú no te habías largado? A ver… esta aplicación tiene tres problemas a mi entender bastante graves.

El primero es precisamente la existencia de esa nube. Para usarla necesitamos logarnos en su nube. y sí… se trata de una compañía centrada en la seguridad, pero tal y cómo hemos visto en el apartado anterior nada nos garantiza que un sistema sea hackeado. Por tanto no me da la suficiente confianza sabiendo que su política de seguridad no ha estado a la altura de las circunstancias en el pasado. 1Password permite la posibilidad de usar otra nube distinta en lugar de la suya (permite usar iCloud o Dropbox), pero luego os diré por qué esta opción tampoco me sirve.

Segundo: hay un problema importante que tal vez no lo parezca, pero la aplicación es de pago y no me parece precisamente barata.

Supongamos que esto no sea un problema para ti en este momento. Ahora tienes la capacidad adquisitiva para hacerle frente… pero no tiene por qué ser así dentro de un año o dos. Si desgraciadamente pasa eso y dejas de pagar, te quedas sin el servicio.

Y tercero: Aunque no te preocupen estos dos temas, hay un problema para mi muy importante, y es que esta aplicación no es software libre.

Bueno... ya salió el fanático del Software Libre. ¿A mi qué más me da qué tipo de licencia tenga este programa u otro cualquiera? Si funciona, allá voy de cabeza a instalarlo.

Pues en muchos casos debería interesarte el tipo de licencia de los programas que usas, pero en este caso muchísimo más. El que no sea software libre significa que nadie excepto sus programadores saben cómo está desarrollada esta aplicación. Los desarrolladores de 1Password pudieron haber puesto una puerta trasera en su programa para que alguien determinado tenga el privilegio de entrar en tu almacén de contraseñas para usar alguna furtivamente. Esto no es factible que pase con un programa de software libre, puesto que la comunidad solventaría este problema. Por ejemplo, el gobierno del país en el que se creó este programa podría estar interesado en que hubiera puertas traseras en él.

Bah, venga... tú lo flipas. ¿Cómo un gobierno de un país va a exigir que una aplicación de su propio país tenga una puerta trasera? Aquí si que se te ha ido la olla.

Pues mira este ejemplo. El gobierno ruso prohibió en su momento usar a sus ciudadanos la aplicación Telegram (una conocida aplicación de mensajería creada en Rusia) porque no permitían que tuviera una puerta trasera para espiar los mensajes. Whatsapp sin embargo sigue operando en Rusia con normalidad. No hay que ser muy listo para suponer que el gobierno ruso puede espiar cualquier conversación de whatsapp que le apetezca, ya que whatsapp no ha tenido nunca este tipo de problemas en Rusia.

¡¡¿Que?!! ¿WhatsApp? Pero es la aplicación de mensajería que debo usar porque... porque la usa todo el mundo. Tanta gente usando una aplicación no puede estar equivocada. 

Claaaaro. Come mierda, porque cientos de millones de moscas no pueden estar equivocadas. ¿Qué te parece?

Ehhhh... ¡¡¡Touché!!!

Y por cierto… si crees que el gobierno de Estados Unidos es más serio que el de Rusia en estos temas, sólo haz una búsqueda en Google con los términos «NSA Backdoor«.

La acabo de hacer... estoy dándole los últimos retoques a mi gato. ¿Crees que con esto nos llegará?

Ehhhh… creo que sí. En fin, con este pequeño repaso supongo que tenemos algunas cosas claras. La aplicación que usemos debe ser Software Libre de forma obligada (no podemos permitir código oculto en un gestor de contraseñas), debe ser gratuíta y no debemos logarnos en una nube para acceder a ella.

Y con todos estos requisitos una de las mejores opciones es KeePass. Tal vez no sea tan conocida ni su uso sea tan súmamente cómodo (no tiene una nube que sincronice todo «al vuelo», pero sí que nos dará la seguridad que estamos exigiendo para una aplicación de este tipo).

3) Versiones de Keepass para los diferentes sistemas operativos.

Antes de nada vamos a descargar la versión adecuada de la aplicación para nuestro sistema operativo.

Naaa... no te preocupes. Acabo de descagarla ya de Softonic. Puedes continuar. 

¡¡¡¿¿¿QUÉÉÉ???!!! Por regla general NUNCA deberíais descargar una aplicación de una página web que no sea la oficial, y menos cuando se trata de una aplicación en la que vamos a poner datos confidenciales. Y por supuesto aún menos cuando se trata de software libre. Al tener el código abierto, cualquiera pudo haber metido un fragmento de código malicioso dentro, y eso no es lo que queremos en un gestor de contraseñas.

Por no decir que en particular Softonic, a pesar de ser una web muy conocida en España, en los instaladores de las aplicaciones que te descargas de su página oculta software que hace que te instales programas no deseados en tu ordenador, además del que quieres instalar. Si te pones a instalar software de esa página (y de muchas otras no oficiales), tu ordenador acabará con un montón de programas no deseados, virus y acabará más lento que una discusión de tartamudos. Siempre siempre descargad el software desde las páginas de los desarrolladores. No es una paranoia. Es seguridad.

Así que vamos a hacer las cosas bien. En primer lugar vamos a irnos a la página OFICIAL de Keepass que es ésta.

https://keepass.info/

En la columna de la izquierda, en el apartado «Getting Keepass» pulsamos el botón «Downloads». Allí veremos dos ramas de desarrollo (La versión 1 y la versión 2). Si usamos windows como sistema operativo, nos descargamos el instalador de la versión 2.

En el momento de escribir este artículo, la última versión era la 2.42.1, pero bajaos la última versión.

Si tenéis algún otro sistema operativo, tenéis en la zona inferior de la página programas alternativos basados en el código de keepass. Por ejemplo, si usas Mac OS, una gran opción es MacPass. En linux no tienes más que mirar la tienda de aplicaciones para ver un montón de alternativas como keepass2 o KeePassXC, aunque la más usada y la que os recomiendo es KeePassX. En dispositivos móviles también podemos usar este sistema. Tenemos KeePassDroid para Android y MiniKeePass para iOS y iPadOS. Hay implementaciones de este sistema para casi cualquier sistema operativo, lo que es una ventaja muy importante respecto a otros sistemas de gestión de contraseñas.

4) Manejo de Keepass en un único dispositivo.

El manejo del programa es realmente sencillo en este escenario. Vamos a centrarnos en windows, pero el manejo es similar en los otros sistemas. Lo que sí que debemos hacer antes de comenzar en windows es cambiar el lenguaje del programa, ya que por defecto viene en inglés. Debemos descargarnos el lenguaje correcto desde la web de Keepass pulsando en el menú de la izquierda en «Translations».

Buscamos el lenguaje que nos interesa y nos descagamos el archivo, que tendrá una extensión «.lng». Mucho ojo, que hay dos versiones, al igual que hay dos versiones de Keepass. Si nos hemos descargado la versión «2» (tal y cómo os dije al principio), tendremos que descargar la traducción al español de la segunda columna.

Ese archivo lo dejamos dentro de la carpeta «Languages», en la ruta en la que hayamos instalado keepass.

Ahora en el interface nos vamos al menú «visualizar» y pulsamos en la primera opción, llamada «cambiar idioma».

Y seleccionamos el lenguaje que hemos descargado. Con esto ya tendremos el interfaz traducido a nuestro idioma.

Después de este pequeño ajuste empecemos creando un archivo para almacenar nuestras contraseñas. Pulsamos en «archivo» –> «nuevo».

El sistema nos preguntará una contraseña maestra para nuestro archivo. A partir de ahora esta será la única contraseña que debéis memorizar. Intentad que sea lo más segura posible, que al fin y al cabo será la única que tendréis en la cabeza. Tendréis que poner la contraseña dos veces en dos ventanas consecutivas.

Y listo. Acordaos de guardar cambios siempre que salgáis del programa (igual que si estuviérais usando un documento de word o libreoffice). La primera vez que salgáis debéis poner dónde vais a guardar ese archivo. El interface de entrada es algo como esto:

En la zona de la izquierda tenemos un árbol de categorías que podemos modificar a nuestro antojo. Podemos crear más categorías pulsando con el botón derecho en «general» o dentro de la categoría que queramos y luego pulsando en «añadir grupo» o «añadir subgrupo».

Ahora, en la parte derecha, podemos crear las distintas entradas dentro de cada categoría, que contendrá cada una de ellas la contraseña del servicio deseado. Para crear una, pulsamos con el botón derecho en algún espacio en blanco de la zona derecha y en el menú desplegable pinchamos en «añadir entrada»

Aquí añadimos una entrada con la contraseña deseada. Simplemente cubrimos los campos. Si deseamos cambiar la contraseña que el sistema nos pone por defecto, pulsamos en el icono de la llave que hay a la derecha del recuadro de la contraseña. Podemos establecer una fecha de caducidad de la contraseña e incluso adjuntar arhivos (para algún pantallazo o una foto de ese post-it que tiene esa contraseña tan importante).

Y básicamente esto es todo. El interfaz es sencillo y funcional. Simplemente tenemos que ir añadiendo contraseñas y categorías a nuestro antojo.

5) Consultar y modificar contraseñas desde el móvil o tablet.

El programa en el móvil y en la tablet es exactamente el mismo. Pero tiene un pequeño problema, y es que si creamos en el móvil otro archivo de contraseñas, no vamos a ver las que hemos creado en el ordenador. Esto es fácilmente solucionable guardando siempre el archivo de contraseñas en una nube como Dropbox, Google drive, NextCloud o similar.

¡¡¡Ajá!!! y ahora es cuando me hackeas dropbox y me robas todas las contraseñas. Así que este artículo es un fraude, listillo. 

Pues no. En el caso de que tu cuenta de Dropbox o alguna otra nube estuviera comprometida, el atacante se encontrará con un fichero protegido por tu contraseña. Si es una contraseña segura (larga, con mayúsculas, minúsculas, números y símbolos) será imposible descrifrarla, ya que el cifrado que usa Keepass no es ni remotamente parecido al de los archivos de office.

Ahora sólo tendremos que ir a nuestra nube (voy a poner el ejemplo con Nextcloud, pero podría ser otra cualquiera como Dropbox) y pulsar encima del archivo con extensión «.kdb» para que el sistema nos dé a elegir con qué programa lo abrimos.

Usamos el programa que tengamos instalado en el móvil para abrir archivos de KeePass. En este caso voy a usar lo que tengo a mano, que es un iPhone con MiniKeePass (En otros modelos de teléfono el método es también muy similar), así que vamos a decirle al teléfono que copie ese archivo en MiniKeepass, y nos saldrá esta pantalla.

Como veis ya estamos dentro de MiniKeePass, y si os fijáis nos aparece el archivo que acabamos de importar (un único archivo), pero podemos tener a la vez varios archivos distintos (uno con las contraseñas personales, otro con las del trabajo, etc…). Vamos a pulsar encima del archivo que acabamos de importar en la siguiente pantalla nos pedirá la contraseña del archivo. Simplemente la escribimos y le damos a «Done».

Con eso ya podremos explorar todo el árbol de grupos de contraseñas y consultar contraseñas. Si cambiamos una de ellas o añadimos alguna nueva, lo estaremos haciendo en local (en la aplicación), así que deberíamos exportar ese archivo de nuevo a nuestra nube. Para ello nos vamos a la zona inferior de la pantalla y seleccionamos el recuadro de exportación.

El teléfono nos preguntará a qué aplicación vamos a llevar ese archivo y nos dará algunas opciones. Debemos buscar la nube en la que queramos guardarlo (Dropbox, Google Drive…). En nuestro caso vamos a escoger «NextCloud», así que pulsamos en el botón «Copiar en NextCloud».

Por último nos preguntará en qué carpeta de nuestra nube vamos a guardar el archivo. Le indicamos una y pulsamos en «Subir archivo».

Con esto deberíais tener un control total de las contraseñas tanto en vuestro ordenador como en vuestros dispositivos móviles. Si habéis llegado hasta aquí ya no tenéis motivo ninguno para seguir usando contraseñas inseguras. A partir de ahora la única contraseña que tendréis que grabar a fuego es la de vuestro archivo de keepass y el resto las podeis olvidar. Mientras la contraseña maestra de KeePass no sea «12345» no tendréis problemas.

¡¡¡Ehhh!!! Esa es la contraseña que uso en mis maletas. 

Te creo, te creo…

Share