El problema de las contraseñas
Tenemos decenas de cuentas online. Si usas la misma contraseña en todas (o variaciones como Contraseña1, Contraseña2...), estás exponiendo todas tus cuentas en cuanto una de ellas tenga una filtración.
En 2023 se filtraron más de 8.000 millones de credenciales. Hay grandes probabilidades de que alguna de las tuyas esté en esas listas. Puedes comprobarlo en haveibeenpwned.com.
La solución: un gestor de contraseñas
Un gestor de contraseñas almacena todas tus credenciales cifradas y protegidas por una única contraseña maestra. Tú solo tienes que recordar esa.
Las ventajas son claras:
- Genera contraseñas únicas y aleatorias para cada sitio
- Las recuerda por ti (no necesitas memorizarlas)
- Avisa si alguna contraseña está en filtraciones conocidas
- Autocompleta en web y apps
- Disponible en todos tus dispositivos
¿Y si hackean el gestor?
Es la pregunta más frecuente. La respuesta es que los gestores serios usan cifrado zero-knowledge: tus contraseñas se cifran en tu dispositivo antes de enviarse al servidor. El proveedor nunca ve tus datos en texto plano.
Incluso en la brecha de LastPass de 2022, los atacantes obtuvieron bóvedas cifradas inútiles sin la contraseña maestra. El riesgo real es que uses una contraseña maestra débil o que no tengas MFA activado.
Opciones que recomiendo
Bitwarden (mi favorito)
Open source, auditable, gratuito para uso personal. La versión premium cuesta 10$/año e incluye informes de salud de contraseñas y autenticador 2FA integrado. Puedes incluso auto-hostear el servidor si quieres control total.
1Password
De pago (~36$/año personal), pero excelente experiencia de uso. Muy popular en entornos profesionales y empresariales. Tiene el modo "Travel mode" para proteger datos al cruzar fronteras.
KeePassXC (local, sin nube)
Si no quieres que tus contraseñas salgan de tu máquina, KeePassXC guarda todo en un archivo local que tú controlas. La sincronización entre dispositivos la gestionas tú (Syncthing, Nextcloud, etc.). Más complejo pero máximo control.
Contraseña maestra: cómo elegirla bien
Esta es la única que tienes que recordar y es crítica. Mi recomendación:
- Usa una frase de paso en lugar de una contraseña: 4-5 palabras aleatorias juntas son más seguras y más fáciles de recordar que
P@ssw0rd#2024 - Ejemplo:
lampara-teclado-playa-nube-silla— fácil de recordar, muy difícil de atacar por fuerza bruta - Nunca la uses en ningún otro sitio
- Activa MFA en la cuenta del gestor
MFA: la segunda capa imprescindible
Multi-Factor Authentication añade un segundo paso al login. Aunque alguien robe tu contraseña, no puede acceder sin el segundo factor. Opciones:
- App autenticadora (Aegis, Authy, Google Authenticator): genera códigos de 6 dígitos que cambian cada 30 segundos. Es lo que recomiendo
- Llave hardware (YubiKey): máxima seguridad, no interceptable remotamente
- SMS: evítalo si puedes. Es vulnerable a SIM swapping
Por dónde empezar
- Descarga Bitwarden (gratuito) en tu navegador y móvil
- Crea cuenta con una contraseña maestra fuerte
- Activa 2FA en la cuenta de Bitwarden
- Importa contraseñas desde el navegador o empieza a añadirlas poco a poco
- Cada vez que entres a un sitio nuevo, deja que Bitwarden genere y guarde la contraseña
En un par de semanas habrás migrado la mayoría de tus cuentas importantes sin esfuerzo.