Los 10 Mejores Administradores de Contraseñas: Útiles Incluso para Empresas

Estos programas y aplicaciones que almacenan de forma segura y encriptada las credenciales (nombre de usuario y contraseña) tienen ventajas y desventajas. Veamos cómo usarlos, por qué y cuáles son los mejores.

Probablemente ya has oído hablar de los administradores de contraseñas. Pero te explicaremos cómo usarlos al máximo y cuáles son los mejores para instalar de inmediato y proteger las credenciales de acceso a los diversos servicios que usamos diariamente.

Este análisis de los administradores de contraseñas, además, nos permite responder a una pregunta que cada vez más usuarios y profesionales se hacen: ¿nos estamos acercando a un mundo “sin contraseñas”, donde las contraseñas ya no serán necesarias? Es probable, pero no será a corto plazo y, de todos modos, no de forma total.

Tendremos que seguir conviviendo con las contraseñas durante años, por lo que será conveniente hacerlo de la manera más segura y cómoda posible.

Porque no es difícil convivir sin ansiedades con las muchas contraseñas que tenemos que gestionar en nuestra vida digital.

Y precisamente para hacer esto, los administradores de contraseñas son de gran ayuda.

¿Qué es y cómo funciona un administrador de contraseñas?

¿Qué son? Los administradores de contraseñas son programas y aplicaciones que almacenan de forma segura y encriptada las credenciales (nombre de usuario y contraseña) de acceso a los servicios web (y no solo) en una especie de caja fuerte (“Vault”) virtual, poniéndola a disposición del usuario cuando lo necesite.

Los administradores de contraseñas también protegen contra el phishing furtivo

Un gestor de contraseñas puede ser muy eficaz para prevenir ataques de phishing furtivo. Estos ataques a menudo imitan perfectamente las comunicaciones de entidades legítimas y pueden eludir medidas de seguridad como la autenticación de dos factores, por ejemplo, interceptando los códigos SMS.

Así es como funcionan:

• Los administradores de contraseñas rellenan automáticamente las credenciales solo cuando se está en el dominio correcto. Esto reduce el riesgo de que el usuario introduzca sus credenciales en un sitio de phishing, ya que el administrador de contraseñas no reconocerá el sitio y no rellenará los campos automáticamente.
• Al utilizar un administrador de contraseñas, los usuarios pueden generar y conservar contraseñas seguras y únicas para cada servicio online, reduciendo así el riesgo asociado a la reutilización de las contraseñas. Aunque una contraseña se vea comprometida, las demás cuentas permanecen seguras.
• Algunos administradores de contraseñas ofrecen funciones de monitorización que avisan al usuario si las contraseñas han estado implicadas en una violación de datos o si un sitio web que utiliza ha sido comprometido. Esto permite a los usuarios reaccionar con prontitud para proteger sus datos.

¿Cómo funcionan los administradores de contraseñas?

Los mejores administradores de contraseñas son multiplataforma, es decir, están disponibles para los sistemas Mac, Windows, iOS y Android. Esto permite (pero no es obligatorio) sincronizar a través de la nube (p. ej., Dropbox) las contraseñas en cada dispositivo en el que estén instaladas (ordenador, portátil o smartphone).

Están protegidos por una contraseña maestra, que sirve para abrirlos y, por lo tanto, se convierte en la única contraseña que hay que recordar. Profundicemos mejor en estos conceptos, pero también te recomendamos que leas el artículo completo sobre cómo elegir la contraseña más segura y mejor.

Todavía estamos lejos, de hecho, de un mundo sin contraseñas (o, como a algunos les gusta decir, “sin contraseñas”) y, por lo tanto, tendremos que seguir “conviviendo” con las contraseñas durante años. Estas herramientas representan las claves de acceso a los datos de la empresa, por lo que conviene hacer un uso correcto de ellas.

Las contraseñas menos seguras: las que usas con más frecuencia

Esto choca, hoy en día, con la cantidad de contraseñas que cada uno de nosotros tiene que gestionar en su vida digital: según LastPass (uno de los gestores de contraseñas más conocidos), el empleado medio de una empresa gestiona 191 contraseñas. Un usuario de la web debe gestionar al menos un centenar de contraseñas.

Esto crea las condiciones para uno de los errores más frecuentes y graves que el usuario tiende a cometer: la reutilización de contraseñas, es decir, el uso de la misma contraseña para diferentes cuentas.

Es una peligrosa costumbre que permite a los atacantes utilizar la técnica del relleno de credenciales: en la práctica, se prueban nombres de usuario/contraseñas (recopilados en bases de datos de credenciales robadas, fácilmente accesibles en la Dark Web) para acceder de forma fraudulenta a las cuentas de los usuarios. Esto se puede hacer automáticamente utilizando software como Shard (“Una herramienta de línea de comandos para detectar contraseñas compartidas”, de código abierto y disponible en GitHub).

Cómo construir una contraseña segura

Por lo tanto, las contraseñas deben ser: siempre diferentes, largas y complejas. La única contraseña segura es la que no puedes recordar: en esta frase, que es el título de un famoso artículo de Troy Hunt de 2011, se encuentra la síntesis del problema: debemos usar contraseñas imposibles de recordar.

Parecería un problema sin solución, pero, por el contrario, hoy en día nos ayudan precisamente los administradores de contraseñas.

Lee también: Cómo Elegir una Contraseña Segura y Difícil de Adivinar: Consejos de Expertos

Los mejores administradores de contraseñas de pago

En la web y en las tiendas de aplicaciones se encuentran decenas, incluso cientos de administradores de contraseñas, pero no todos son iguales y, sobre todo: no todos son igualmente seguros.

Aquí solo vamos a enumerar los productos más conocidos, dividiendo en dos secciones esta presentación:

• los productos de pago;
• los gratuitos.

Los administradores de contraseñas de pago utilizan ahora en la mayoría de los casos la fórmula de suscripción, con una cuota mensual o anual.

Solo en algunos casos hay fórmulas de compra de una licencia perpetua.

Todos ofrecen fórmulas tanto para uso personal como para uso empresarial (business).

Casi siempre también hay versiones de prueba gratuitas, que dan acceso a todas las funciones del producto, pero por un periodo limitado. Después será necesario proceder al pago.

Para algunos también indicaremos los precios, con la advertencia de que dichas cotizaciones son solo indicativas, ya que podrían variar por efecto de promociones o aumentos.

#1. NordPass: para empresas y particulares

• Calificación: 4.8
• Compatibilidad: Windows, Mac, Android, iOS, Linux
• Extensiones web: Chrome, Firefox, Edge, Safari, Opera, Brave
• Cifrado: XChaCha20
• 2FA: ✓
• Relleno automático: ✓
• Versión gratuita: ✓
• Precio: desde 1,29 €/mes

NordPass es una herramienta avanzada pero fácil de usar, para uso personal y empresarial, que protege y monitoriza el acceso a datos sensibles, cuentas online y métodos de pago.

Disponible tanto en versión Family como en versión empresarial, puede utilizarse también como sistema de almacenamiento para archivar de forma segura, además de las contraseñas, también sus notas, los archivos adjuntos de los correos electrónicos, los datos de la tarjeta de crédito, la información personal más confidencial y sus passkey para acceder a los servicios online.

Toda la información archivada en NordPass se protege automáticamente mediante algoritmos de cifrado XChaCha20 y AES 256, para garantizar que nadie, excepto el propietario directo, pueda acceder a ella.

Muy útil es la función que permite compartir de forma segura contraseñas, claves de acceso, información de la tarjeta de crédito y datos personales con otros usuarios, introduciendo los objetos en sus cajas fuertes.

Además, NordPass comprueba si las contraseñas o los datos de las tarjetas de crédito se han divulgado online e informa inmediatamente al usuario de cualquier incidente de seguridad en el que hayan estado implicados sus datos confidenciales.

PRECIOS:

• la versión Family, hasta 6 usuarios, se ofrece a 2,79 euros/mes durante dos años o a 3,69 euros/mes con licencia anual;
• para las empresas, hay disponibles las siguientes versiones: Premium, para un usuario, a 1,29 euros/mes durante dos años o 1,69 euros/mes durante un año; Teams, hasta 10 usuarios, a 1,79 euros/mes/usuario o 1,99 euros/mes/usuario; Business, hasta 250 usuarios, a 2,69 euros/mes/usuario o 3,99 euros/mes/usuario; Enterprise, con usuarios ilimitados, a 5,39 euros/mes/usuario o 5,99 euros/mes/usuario.

PRO:

• genera y almacena contraseñas robustas;
• rellena automáticamente contraseñas, tarjetas de crédito y formularios;
• proporciona información sobre la ciberseguridad de las cuentas;
• permite compartir contraseñas con otros usuarios de forma segura;
• función de historial de contraseñas que permite a los usuarios ver las versiones más recientes de las contraseñas, restaurar las versiones anteriores y copiar la contraseña.

CONTRA:

También existe una versión gratuita que, sin embargo, solo se puede utilizar en un solo dispositivo y no tiene escáner de violación de datos.

#2. LastPass de LogMeIn

• Calificación: 4.1
• Compatibilidad: Windows, Mac, Android, iOS, Linux
• Extensiones web: Chrome, Firefox, Edge, Safari, Opera
• Cifrado: AES-256
• 2FA: ✓
• Relleno automático: ✓
• Versión gratuita: ✓
• Precio: desde 2,32 €/mes

LastPass puede considerarse uno de los “líderes del mercado”, por su fama, difusión y calidad. Está disponible tanto en versión personal como empresarial.

La versión empresarial permite al administrador del sistema tener el control de todas las contraseñas de la empresa y distribuir las diferentes cajas fuertes de forma granular a los usuarios.

También existe la versión gratuita “Free” que se puede utilizar sin demasiadas limitaciones (pero en un solo dispositivo).

LastPass requiere, como la mayoría de estos administradores de contraseñas, la creación de una cuenta.

Permite configurar las contraseñas utilizando plantillas ya preparadas: inicio de sesión, tarjeta de crédito, documentos, etc.

Existen las versiones para macOS, Windows, iOS, Android, Linux y Chrome OS. También disponible para Windows Phone.

También ofrece una función de importación de contraseñas procedentes de otros administradores de contraseñas, entre los que se encuentran todos los más conocidos: 1Password, Clipperz, Dashlane, eWallet, FireForm, HP Password Safe, KeePass, además del administrador de contraseñas de Google Chrome.

PRECIOS:

• son, por término medio, un poco más bajos que los de los principales competidores;
• la versión personal se ofrece en modo de usuario único a 2,32 €/mes y en modo Families (6 licencias Premium para facilitar el intercambio de contraseñas) a 3,90 €/mes;
• para las empresas existen la versión Teams (máximo 50 miembros) a 3,90 €/mes por usuario y la Enterprise (para un número ilimitado de usuarios) a 6,50 €/mes por usuario. Más detalles en el sitio web.

PRO:

• versión gratuita utilizable con pocas limitaciones;
• indicador de la fuerza de la contraseña y herramientas de monitorización de la dark web;
• autenticación de dos factores presente (para acceder a la cuenta LastPass);
• posibilidad de generar las OTP para la autenticación de dos factores (con la aplicación conectada “LastPass Authenticator”);
• mantiene el historial completo de las contraseñas utilizadas anteriormente.

CONTRA:

Algunos tipos de datos personales no se pueden utilizar para el rellenado automático de los formularios.

#3. PM 1Password de AgileBits

• Calificación: 4.4
• Compatibilidad: Windows, Mac, Android, iOS, Linux
• Extensiones web: Chrome, Firefox, Edge, Safari, Opera, Brave
• Cifrado: AES-256
• 2FA: ✓
• Relleno automático: ✓
• Versión gratuita: ❌
• Precio: desde 2,65 €/mes

1Password es otro líder del mercado, probablemente el principal competidor de LastPass.

La empresa AgileBits (con sede en Toronto) nació desarrollando un administrador de contraseñas para Mac ya en 2006. Por eso, 1Password es el administrador de contraseñas más apreciado, sobre todo por quienes utilizan dispositivos Apple.

En comparación con sus competidores, se caracteriza por un diseño especialmente cuidado, por unos costes ligeramente más altos y por la ausencia de una versión gratuita. Solo existe la posibilidad de probarlo gratuitamente durante 14 días, pero al final será necesario suscribirse a la suscripción de pago.

1Password está disponible para todos los sistemas operativos: macOS, Windows, iOS, Android, Linux y también ChromeOS. Están disponibles las extensiones para Firefox, Chrome, Brave. No es necesario para Safari, porque está incorporada en la aplicación para macOS (como demostración de cómo 1Password está particularmente ligada al mundo Apple).

Al igual que LastPass, ofrece tanto la versión Personal/Family como las versiones Business/Enterprise.

PRECIOS:

• Personal: 35,88 $/año, o 2,56 $/mes;
• Family (5 miembros): 59,88 $/año, o 4,99 $/mes;
• Teams Starter Pack: 19,95 $/usuario/mes, hasta 10 usuarios;
• Business: 95,88 $/usuario/año, o 7,99 $/mes;
• Enterprise: presupuestos a petición.

PRO:

• diseño muy cuidado e intuitivo;
• facilidad de uso;
• autenticación de dos factores presente (para acceder a la cuenta 1Password);
• posibilidad de generar (y almacenar) códigos TOTP para los sitios que lo permiten para la autenticación de dos factores;
• mantiene el historial completo de las contraseñas utilizadas anteriormente.

CONTRA:

• opciones de importación limitadas;
• no hay versión gratuita (solo prueba limitada a 30 días).

#4. Password manager Dashlane: interfaz fluida

• Calificación: 4.2
• Compatibilidad: Windows, Mac, Android, iOS
• Extensiones web: Chrome, Firefox, Edge, Safari, Opera, Brave, Chromium
• Cifrado: AES-256
• 2FA: ✓
• Relleno automático: ✓
• Versión gratuita: ✓
• Precio: desde 3,62 €/mes

Dashlane es otro administrador de contraseñas muy conocido, presenta características muy similares a LastPass, pero ofrece una interfaz más fluida.

La aplicación está disponible para todas las plataformas más populares, es altamente configurable y es uno de los pocos administradores de contraseñas que incluye una VPN básica.

También ofrece un plan gratuito que incluye funciones avanzadas, pero que solo admite hasta 50 contraseñas y un solo dispositivo. Es más caro que LastPass.

PRECIOS:

• La versión Premium con VPN cuesta 3,62 euros al mes y es ideal para perfiles personales.
• La versión Friends&Family cuesta 5,46 euros al mes y cubre hasta 10 perfiles.
• La versión Starter para 10 usuarios a 2,00 €/mes es útil para pequeñas empresas o autónomos.
• La versión empresarial cuesta 8,00 € al mes por usuario con factura anual (96,00 €/año/usuario).

PRO:

• diseño cuidado;
• sincronización en todos los dispositivos Windows, macOS, Android e iOS;
• muy completa: presentes todas las funciones avanzadas para la gestión de las contraseñas;
• incluye la protección con VPN;
• analiza la Dark Web en busca de cuentas comprometidas.

CONTRA:

• caro;
• la versión gratuita no se sincroniza entre los dispositivos.

#5. Keeper

• Calificación: 4.3
  Compatibilidad: Windows, Mac, Android, iOS, Linux
• Extensiones web: Chrome, Firefox, Edge, Safari, Opera, Brave, Explorer
• Cifrado: AES-256
• 2FA: ✓
• Relleno automático: ✓
• Versión gratuita: ✓
• Precio: desde 2,92 €/mes

Keeper es bastante completo, también ofrece una versión gratuita que funciona en un solo dispositivo y una prueba gratuita de 30 días.

En general, un administrador de contraseñas válido, pero no al nivel de los competidores anteriormente mencionados.

PRECIOS:

Es un poco menos caro que 1Password y Dashlane, pero con menos funciones.

Hay dos versiones empresariales, a precios en este caso interesantes:

• Keeper Business Starter a 2,00 €/mes/usuario, para un máximo de 10 usuarios, lo que equivale a 24 euros al año por usuario.
• Keeper Enterprise a 3,75 €/mes/usuario, lo que equivale a 40 euros al año por usuario.
• El plan Familiar (para 5 usuarios) es más caro: 6,25 €/mes (base), es decir, 74,99 euros al año.
• El plan de usuario único cuesta 2,92 euros al mes (34,99 euros al año).

PRO:

• diseño elegante;
• autenticación de dos factores presente;
• mantiene el historial completo de las contraseñas utilizadas anteriormente.

CONTRA:

• versión gratuita con muchas limitaciones.

Los mejores administradores de contraseñas gratuitos

También hay algunos administradores de contraseñas gratuitos interesantes.

El hecho de que no sean de pago no debe causar sospechas, ya que se trata de productos pertenecientes a la lógica del código abierto. De todos modos, recomiendo evitar salir del círculo de los productos que vamos a indicar, para no toparse con administradores de contraseñas gratuitos, pero de dudosa reputación o con fines fraudulentos.

#6. KeePass

KeePass es sin duda el administrador de contraseñas gratuito más difundido.

Técnicamente válido, pero con un diseño decididamente pobre.

En la página de descarga se pueden descargar las versiones oficiales para Windows (tanto la que se instala como la “Portable”). En la misma página se encuentran las versiones no oficiales para las demás plataformas: macOS, Linux, Android, iOS, incluso para Windows 10 Mobile y Blackberry. Al tratarse de versiones “no oficiales”, hay varias para cada plataforma. Para el usuario puede ser difícil evaluar cuál elegir.

Para tener el producto completamente operativo, es necesario descargar por separado el paquete con el idioma elegido y los plugins con las funciones adicionales (por ejemplo, indispensable el que permite el autorelleno, que en los administradores de contraseñas de pago está presente de forma nativa).

Un producto gratuito, pero cuyo uso puede resultar difícil para un usuario no especialmente avanzado.

Cabe señalar, además, que el programa tenía una vulnerabilidad, luego corregida en junio de 2023, que permitía la recuperación de la contraseña maestra de la memoria.

PRO:

• gratuita;
• código abierto;
• muchas opciones de personalización, gracias a los plugins adicionales de código abierto;
• posibilidad de almacenar los datos en el propio ordenador (como alternativa a la nube).

CONTRA:

• diseño poco cuidado;
• instalación poco intuitiva, sobre todo para los plugins adicionales;
• el autorelleno de los formularios no es predeterminado, sino que debe añadirse con plugins de terceros.

#7. Bitwarden

Bitwarden es otro administrador de contraseñas gratuito de código abierto. Menos conocido que KeePass, pero sin duda mejor en cuanto a estética y facilidad de uso.

Disponible para todas las principales plataformas, integra el mayor número de extensiones para cualquier navegador: además de los más conocidos, existe la extensión también para los navegadores Opera, Brave, Tor, Vivaldi.

Permite guardar su caja fuerte de contraseñas en la nube y sincronizarla entre los distintos dispositivos.

Muy seguro: los datos están encriptados con el algoritmo AES-256, hashing salado y PBKDF2 SHA-256.

El código fuente se publica en GitHub.

Es gratuito, por lo que todas las funciones están disponibles sin tener que pagar una suscripción.

En realidad, también hay algunas opciones de pago, por cierto indicadas para planes empresariales y de todos modos menos costosas que los administradores de contraseñas de pago más conocidos.

La opción Enterprise cuesta 6 dólares USA/año y ofrece algunas funciones adicionales (por ejemplo, TOTP para la autenticación de dos factores).

Podría ser útil, en el ámbito empresarial, el plan Teams a 4,00 dólares USA/mes/usuario, que permite gestionar los grupos de usuarios.

Bitwarden es, por lo tanto, un excelente producto, muy completo ya en la versión gratuita y preferible al más conocido, pero menos cuidado, KeePass.

PRO:

• gratuita, de todos modos económica;
• diseño bastante cuidado;
• facilidad de uso;
• admite la autenticación de dos factores mediante Yubikey o FIDO;
• genera códigos TOTP para los sitios que admiten 2FA;
• código fuente público.

CONTRA:

• soporte para iOS bastante limitado.

Otros administradores de contraseñas

Para concluir, también enumeramos otros productos presentes en el mercado. En opinión de quien escribe, no están al nivel de los anteriormente reseñados, pero pueden considerarse igualmente fiables, por lo que deben tenerse en cuenta y probarse.

• RoboForm Everywhere: producto completo, pero que aún no ha alcanzado las funciones de los administradores de contraseñas más importantes. Versión RoboForm Free gratuita, RoboForm Everywhere de pago (desde 39,95 dólares USA/año).
• Sticky Password: disponible en versión gratuita y de pago (199,95 € de por vida, o 39,95 €/año).
• McAfee True Key: funciones básicas gratuitas, faltan algunas funciones avanzadas y el soporte para Safari (macOS).
• Zoho Vault: producida por la conocida Zoho, versión gratuita y versiones de pago (Standard 0,90 €/mes, Professional 4,50 €/mes, Enterprise 7,20 €/mes).
• Kaspersky Password Manager: la versión Business es de pago a partir de 18,99 euros/año, para Windows, Mac, Android, iOS.
• LogMeOnce Password Management Suite Ultimate: ofrece un gran número de funciones, que tienen un coste extra. La instalación de todas las funciones es bastante costosa y hace que la aplicación sea complicada. Versión gratuita y versiones de pago (Professional 2,50 €/mes, Ultimate 3,25 €/mes, Family 4,99 €/mes).
• Password Safe: gratuito, código abierto, diseñado por el famoso criptógrafo Bruce Schneier. La versión para iOS cuesta 2,99 €, mientras que la de macOS cuesta 17,99 €, ambos precios únicos.
• Passbolt: gratuito, código abierto, fabricado en Luxemburgo, basado en OpenPGP (utiliza GnuPG para autenticar a los usuarios).

La primera instalación de los administradores de contraseñas

La primera instalación de un administrador de contraseñas puede resultar fatigosa, ya que tendremos que rellenarlos cargando manualmente todas nuestras credenciales, pero luego descubriremos su utilidad y no podremos prescindir de ellos.

En algunos casos también hay funciones de exportación e importación de la base de datos de contraseñas, útiles sobre todo si se quiere migrar de un administrador de contraseñas a otro.

La función de exportación de contraseñas también está presente en el navegador Chrome: desde el menú Ajustes/Autocompletar/Gestionar contraseñas/Contraseñas guardadas es posible utilizar el comando Exportar contraseñas para generar un archivo .csv que casi todos los administradores de contraseñas pueden importar.

La misma función también está disponible en Firefox, en la sección de configuración dedicada a las contraseñas, que se denomina Firefox Lockwise y que es, en la práctica, un administrador de contraseñas aunque bastante rudimentario. Hablaremos de ello más adelante. También en este caso se obtiene un archivo .csv no encriptado.

Si, por el contrario, no procede de un gestor de contraseñas anterior (o si la opción de importación no está disponible), el uso inicial de un administrador de contraseñas requerirá el rellenado manual de los campos (sobre todo los imprescindibles: nombre de usuario, contraseña, URL del sitio).

Esta actividad es necesaria solo en el primer uso, para rellenar el administrador de contraseñas. Posteriormente, cada nueva entrada podrá añadirse automáticamente por el administrador de contraseñas (función presente en los mejores administradores de contraseñas).

En otras palabras: gracias a la extensión del navegador, el administrador de contraseñas puede reconocer si hemos creado una nueva cuenta/inicio de sesión y almacenarla en su base de datos.

Aclaramos, y también lo trataremos más adelante, que cada administrador de contraseñas requiere la instalación de su extensión en el navegador que utilizamos. Estas extensiones son componentes adicionales, también conocidos como plugins o add-ons, que se instalan en los navegadores y amplían sus funciones y las interacciones con otros programas. Todos los principales administradores de contraseñas ponen a disposición las extensiones para los navegadores más difundidos.

Las ventajas de los administradores de contraseñas

Son muchas las ventajas que ofrecen los mejores administradores de contraseñas del mercado:

1. Solo hay que recordar una contraseña: como se ha dicho, es la contraseña maestra para abrirlos;
2. ofrecen modelos estándar que se pueden utilizar para facilitar la cumplimentación de los principales tipos de entradas que se deben introducir. Por lo tanto, tendremos las plantillas para: cuenta bancaria, tarjeta de crédito, documento, inicio de sesión, cuenta de correo electrónico, nota segura, contraseña Wi-Fi, etc.;
3. para cada entrada podemos añadir y almacenar muchos datos: nombre de usuario, contraseña, números de teléfono, fechas de caducidad, fotos de documentos o tarjetas de crédito, etc., y personalizarlos a nuestro gusto. Esto los hace mucho más prácticos y completos que los administradores de contraseñas que están presentes de forma nativa en los principales navegadores (Chrome, Firefox, Safari);
4. en los mejores administradores de contraseñas, los datos almacenados se cifran con el sistema de cifrado AES de 256 bits, el mismo que utiliza el gobierno de EE. UU. como estándar para proteger los documentos clasificados como “Top Secret”. Este cifrado se considera inviolable por los ordenadores actuales. Por lo tanto, incluso si un atacante consiguiera apoderarse del archivo (vault) con nuestras contraseñas, no podría descifrarlo;
5. tienen la capacidad de generar automáticamente contraseñas seguras y complejas: por lo tanto, cada vez que tengamos que establecer o cambiar una contraseña, bastará con que la cree el administrador de contraseñas y se realizará con los mejores requisitos de seguridad que se deben adoptar para las contraseñas;
6. la mayoría de los administradores de contraseñas integran un sistema inteligente de autorelleno de los formularios en los sitios web. Por lo tanto, no es necesario hacer “copiar/pegar” las contraseñas para completar el inicio de sesión. Esta función resulta excepcionalmente cómoda: basta con entrar en la página de inicio de sesión del sitio, tener el administrador de contraseñas desbloqueado y éste reconocerá automáticamente el sitio introduciendo las credenciales correspondientes. ¡A partir de ahora, la longitud de la contraseña ya no será un problema! Para utilizarla, hay que instalar en cada navegador la extensión del administrador de contraseñas. En los administradores de contraseñas más avanzados, el autorelleno funciona no solo en los formularios de inicio de sesión, sino también para el autorelleno de los datos de las tarjetas de crédito. Esto es muy práctico para evitar la práctica, desaconsejada, de memorizar los datos de la tarjeta de crédito dentro de un sitio;
7. la función de autorelleno también está implementada en las aplicaciones móviles (iOS y Android) de los administradores de contraseñas;
8. el autorelleno genera una ventaja adicional: protege contra la estafa de phishing. En otras palabras, si hemos llegado a una página de inicio de sesión a través de un enlace de phishing, éste será falso, es decir, diferente de la URL del sitio real. Por lo tanto, la función de autorelleno fallará, ya que no encuentra correspondencia entre la URL en la que nos encontramos y la almacenada en el administrador de contraseñas;
9. los administradores de contraseñas no pueden cambiar/actualizar las contraseñas de forma autónoma en los sitios, esta operación deberá hacerse obviamente por el usuario. Sin embargo, gracias a la extensión del navegador, pueden reconocer el cambio de contraseña (en el momento en que se realiza) y pueden actualizar automáticamente la contraseña dentro de su base de datos. Por lo general, antes de hacerlo, solicitan la confirmación del usuario (para evitar actualizaciones erróneas o no deseadas).

Las desventajas de los administradores de contraseñas

Los mejores administradores de contraseñas son seguros y fáciles de usar, pero aunque se trata de herramientas muy útiles, conviene destacar también los posibles errores que el usuario no debería cometer en su uso.

Solo señalo tres posibles riesgos (o desventajas):

1. olvidar la contraseña maestra: en la mayoría de los administradores de contraseñas no existe el habitual botón “He olvidado mi contraseña” para recuperar la clave de acceso, precisamente por razones de seguridad. Por lo tanto, olvidar la contraseña maestra significa perder el acceso al administrador de contraseñas y perder irremediablemente todas sus contraseñas. A veces, durante la instalación, se genera una clave de seguridad (de al menos 32 caracteres), que se utilizará en caso de emergencia. Obviamente, esta “clave secreta” también debe conservarse con cuidado, ya que representa la última posibilidad de recuperar el acceso a su caja fuerte;
2. que te roben la contraseña maestra: conservar todas las contraseñas en un único archivo puede ser arriesgado, por lo que lo protegeremos con una contraseña segura, después de todo, es la única que realmente tendremos que recordar. Esto es indiscutiblemente cierto y es, de hecho, la principal crítica que hacen quienes no aprecian los administradores de contraseñas;
3. elegir un administrador de contraseñas no seguro: podría ser peligroso confiar sus contraseñas a un software creado por otros, porque un malintencionado podría elaborar y comercializar un administrador de contraseñas específicamente para robarnos las contraseñas. Para evitar este riesgo, que es real, recomiendo elegir solo administradores de contraseñas de empresas conocidas y fiables. Veremos cuáles son los productos más recomendados.

¿Podemos confiar en los administradores de contraseñas?

“¿Por qué debería darle mi contraseña a otra persona para que la memorice?”

Esta pregunta que me hacen a menudo, sobre todo en mi actividad formativa, no carece de sentido.

Partiendo de la base de que en la ciberseguridad no existe la seguridad absoluta, los administradores de contraseñas representan la mejor solución que combina seguridad y practicidad.

Los administradores de contraseñas fiables utilizan el método de cifrado de conocimiento cero.

Significa que los proveedores de los administradores de contraseñas no saben nada de los datos que les entregas. Los cifran antes de que puedan almacenarse en sus servidores.

Es un “sobre sellado”: no saben qué hay dentro. Aunque ellos o cualquier otra persona abran el sobre, no podrán leerlo, porque está cifrado con la contraseña maestra, que solo nosotros conocemos.

La única manera de perder el acceso al administrador de contraseñas es olvidar la contraseña maestra.

Precisamente por el efecto del cifrado de conocimiento cero, no hay forma de leer las contraseñas si no se tiene la contraseña maestra.

Los administradores de contraseñas integrados en los navegadores

Para concluir, creemos que es útil hacer una mención también al uso de los navegadores como administradores de contraseñas.

A menudo me hacen la pregunta: “¿Es seguro guardar sus contraseñas en los navegadores?“

Hasta hace algún tiempo, mi respuesta era muy clara: “No es seguro“. En los últimos tiempos, en realidad, los navegadores han avanzado mucho en materia de seguridad, reduciendo, pero no eliminando, la diferencia con respecto a los mejores administradores de contraseñas.

Examinemos cómo los principales navegadores tratan y conservan las contraseñas.

Administrador de contraseñas de Safari para MacOS

Las contraseñas se pueden archivar en el Llavero iCloud, que permite compartir las cuentas y las contraseñas guardadas en todos los dispositivos que tienen el mismo ID de Apple.

El Llavero iCloud (Keychain) es en realidad un administrador de contraseñas, ya que las contraseñas que se guardan en él están protegidas por cifrado, Apple indica genéricamente el uso de “Cifrado AES mínimo de 128 bits” (por lo tanto, cifrado simétrico) y de “cifrado de extremo a extremo” (sin más detalles).

Podemos considerarlo razonablemente seguro (no al nivel de los mejores administradores de contraseñas), pero sin duda muy pobre en funciones. En la práctica, solo archiva: nombre de usuario, contraseña y URL. No permite añadir otras entradas, como sí es posible en los administradores de contraseñas.

Gestor de contraseñas de Google Chrome

De forma similar a Safari, permite guardar las contraseñas en Chrome bajo su cuenta de Google/Android y sincronizarlas en todos los dispositivos conectados a esa cuenta.

Las contraseñas guardadas de esta manera se pueden gestionar desde el Gestor de contraseñas de Google.

No está claro qué nivel de cifrado se utiliza. Google se limita a afirmar genéricamente que “Protegemos estos datos con varios niveles de seguridad que incluyen tecnologías de cifrado de vanguardia, como el protocolo HTTPS y el estándar Transport Layer Security (TLS)”.

En las contraseñas guardadas, a través del menú “Comprobar contraseñas” se realiza un control para verificar si:

• se han visto comprometidas en el marco de una violación de datos;
• son potencialmente ineficaces y fáciles de adivinar.

Inicialmente Chrome realizaba este control con la herramienta Password Checkup, introducida en la versión 78, lanzada el 22 de octubre de 2019.

La extensión Password Checkup se eliminó el 31 de agosto de 2020, porque el servicio de comprobación de contraseñas se integró en Chrome y se puede gestionar mediante la configuración de seguridad “Comprobar contraseñas”.

El acceso a las contraseñas guardadas en Chrome requiere únicamente el conocimiento de la contraseña principal del ordenador, no se requiere una contraseña dedicada. Esto representa un elemento que hace menos seguro Chrome en comparación con un administrador de contraseñas que, en cambio, se desbloquea con la contraseña maestra (y menos seguro también que Firefox, como explicaremos a continuación).

Además, al igual que Safari, en Chrome los datos que se pueden almacenar son los estrictamente necesarios, no es posible añadir otros opcionales.

Administrador de contraseñas de Mozilla Firefox

En Firefox, el gestor de contraseñas llamado Firefox Lockwise, introducido en mayo de 2019, se descontinuó el 13 de diciembre de 2021.

Permanece activo el administrador de contraseñas F-Secure como extensión de Firefox, que presenta las siguientes ventajas:

• Protección de la navegación web: La extensión proporciona soporte para el protocolo HTTPS para los productos de seguridad instalados de F-Secure. Esto ayuda a proteger la navegación web y las operaciones bancarias y de compras online.
• Gestión de contenidos web no deseados: Los contenidos web no deseados proporcionados a través de HTTPS se pueden gestionar con una página de bloqueo.
• Evaluación de sitios web: La extensión habilita la función de Protección de navegación, así como iconos de evaluación y el modo SafeSearch para motores de búsqueda cuando se utiliza HTTPS.
• Muestra información de seguridad: Durante la navegación por Internet, la extensión muestra información de seguridad.

Limitaciones de los gestores de contraseñas de los navegadores

Los gestores de contraseñas incorporados en los navegadores tienen una gran limitación en términos de funcionalidad, ya que no permiten guardar todos esos datos adicionales que se pueden añadir en los administradores de contraseñas reales (y que los convierten en una verdadera “libreta secreta”).

Solo son útiles para el desbloqueo con contraseña en una página de inicio de sesión y poco más.

Además, utilizan niveles de seguridad y cifrado seguramente inferiores a los de los administradores de contraseñas más avanzados, con un nivel mejor, como ya se ha explicado, para Firefox Lockwise, en comparación con Chrome.

Por eso, recomendamos utilizar un verdadero administrador de contraseñas, eligiéndolo entre los de mejor calidad: se requerirá una primera fase de “aprendizaje” un poco más complicada que la costumbre de guardar las contraseñas en el navegador, pero las ventajas en términos de seguridad y practicidad serán notables e incomparables.