Tu gestor contra tu memoria: la única regla que sobrevivió

Publicado el por David Carrero

Hay una diferencia enorme entre una regla que incumples y una regla que no puedes cumplir. «Una contraseña distinta en cada sitio» es la segunda.

De todo el catecismo que aprendimos —la mayúscula, el número, el símbolo, el cambio periódico obligatorio—, el NIST tiró casi todo por la borda en el SP 800-63B. La longitud pasó a importar más que la retorcedura. La rotación forzada desapareció salvo indicio de compromiso. Lo de exigir símbolos se sustituyó por algo mucho más sensato: comprobar la contraseña contra listas de las ya filtradas.

Sobrevivió una sola regla. La de no repetir. Y es la que menos caso le hicimos, porque para cumplirla hacía falta algo que ningún cartel de la intranet mencionaba.

Por qué tu memoria no puede

Piensa en cuántas cuentas tienes. No las que usas: las que tienes. El banco, el correo, el otro correo, la tienda donde compraste unas zapatillas en 2019, el foro, la aerolínea, la app del parking, el gestor de la comunidad de vecinos, el sitio de la administración que te obligó a registrarte para un trámite de cinco minutos.

Ahora imagina memorizar una cadena larga, aleatoria y distinta para cada una. No es que sea difícil. Es que no es un objetivo alcanzable por un cerebro humano, y sostener lo contrario durante años ha sido una de las crueldades menores de la seguridad informática.

Así que hicimos lo único que se podía hacer: una contraseña buena y sus variaciones. Alcachofa2019! para el banco y Alcachofa2019? para el foro. O directamente la misma en todas partes, con un asterisco mental de «bueno, en el banco tengo otra».

Y ahí está el problema, porque el ataque real no consiste en adivinar tu contraseña. Consiste en probar la que ya te robaron en otro sitio. El foro de 2019 se filtra —los foros de 2019 se filtran—, alguien coge esa lista de correos y contraseñas y la prueba, automatizada, contra todos los servicios que se le ocurren. No hace falta romper nada. Tú ya le diste la llave; solo está probando puertas. Eso es credential stuffing, y funciona exactamente porque la única regla que importaba es la que nadie podía cumplir.

Un gestor no es comodidad

Aquí es donde suele venderse el gestor de contraseñas como un lujo: qué cómodo, rellena solo, no tienes que teclear. Es verdad, y es lo de menos.

Un gestor no te ahorra trabajo: te hace posible una regla que sin él es inalcanzable. Es la diferencia entre pedirte que corras cien kilómetros y darte una bicicleta. La cifra no cambia; cambia si la puedes hacer.

Con uno delante, todo lo demás del SP 800-63B se resuelve solo. ¿Largas antes que complejas? El gestor las genera de la longitud que quieras, porque no las vas a teclear. ¿Distintas en cada sitio? Trivial, por definición. ¿Nada de rotación forzada? Perfecto: solo cambias la que se ha filtrado, y muchos gestores te avisan cuando eso pasa. La única que sigues teniendo que memorizar es la maestra, y esa sí merece que la generes con cuidado —cuatro o cinco palabras al azar en el generador y comprobar qué tal aguanta en el comprobador—.

La objeción honesta

«Meter todos los huevos en la misma cesta.» La he oído mil veces y no es una tontería. Si alguien entra en tu gestor, entra en todo. Es un punto único de fallo, y quien te diga que no lo es te está vendiendo algo.

La respuesta también tiene que ser honesta: sí, es una cesta única, pero la alternativa no es tener los huevos repartidos. Es tenerlos por el suelo. Sin gestor no acabas con ochenta contraseñas independientes; acabas con la misma contraseña en ochenta sitios, que es la misma cesta pero sin cierre, sin cifrado y replicada en ochenta servidores ajenos cuya seguridad desconoces por completo.

Fíjate en el modelo de amenaza real. Que alguien reviente la bóveda cifrada de un gestor serio requiere, o bien un fallo grave del producto, o bien tu contraseña maestra. Que alguien pruebe en tu correo la contraseña que usaste en una tienda online no requiere absolutamente nada: es un script y una lista. Estás comparando un ataque que necesita mucho con uno que ya está ocurriendo, constantemente, en piloto automático.

Lo que sí es una precaución razonable: una maestra larga y única, segundo factor activado en el gestor, y ser consciente de que la maestra es ahora tu punto crítico. Trátala como tal.

Cuál, y por qué no hay una respuesta única

Aquí toca decir algo incómodo para un sitio que tiene enlaces de afiliado: el mejor gestor es el que vas a usar, y hay más de uno bueno.

Bitwarden es software libre, tiene un plan gratuito que cubre lo que necesita casi todo el mundo y puedes alojarlo tú si te apetece. Que su código sea auditable no es marketing: significa que no dependes de la palabra de nadie.

KeePass —y sus derivados— guarda todo en un fichero local. Sin nube, sin cuenta, sin proveedor. Si tu preocupación es «no quiero que mis contraseñas estén en el servidor de otro», esa preocupación está literalmente resuelta. A cambio, la sincronización entre tus dispositivos es cosa tuya.

1Password es de pago y es al que enlazamos desde aquí —afiliado, para que conste—. Lo que hace bien es la parte que suele decidir si un gestor sobrevive en una casa: que la gente no técnica lo entienda, lo comparta con su pareja y no lo abandone a la semana. No es más seguro que Bitwarden por ser de pago. Es, para mucha gente, más fácil de no abandonar.

Y el gestor de tu navegador. Gratis, ya lo tienes instalado, ya te ofrece guardar. Está por debajo de los anteriores en control, en portabilidad y en compartir, y te ata a un ecosistema. Da igual: usar el del navegador es incomparablemente mejor que no usar ninguno, porque resuelve el problema grande. Cualquiera que te diga lo contrario está poniendo la pureza por delante del riesgo real.

La frase que resume todo

Durante años nos dijeron cómo tenía que ser cada contraseña y casi nunca nos dijeron cómo íbamos a acordarnos de todas. Era el paso que faltaba, y sin él la única regla que sobrevivió no era una regla: era un reproche.

Elige uno. Cualquiera de ellos. El debate sobre cuál es marginal comparado con la distancia que hay entre tener gestor y no tenerlo.


Fuentes: NIST SP 800-63B, «Digital Identity Guidelines: Authentication and Lifecycle Management» (longitud sobre complejidad, sin rotación forzada salvo indicio de compromiso, cotejo contra listas de contraseñas comprometidas) · documentación y modelos de seguridad publicados por Bitwarden, KeePass y 1Password.

← Volver al blog