Heartbleed: una razón más para obtener un administrador de contraseñas

Estos administradores te facilitan la vida en el complicado mundo de las múltiples contraseñas, especialmente cuando nos enfrentamos a fallos de seguridad como Heartbleed.

Seguridad

Close
Drag
Autoplay: SI Autoplay: NO


RoboForm, LastPass y otros administradores de contraseñas no te habrían salvado del fallo de seguridad, Heartbleed, pero si facilitan el proceso.

La semana pasada se reveló esta falla de seguridad que se encuentra dentro de algunas versiones del OpenSSL, un software de código abierto que utiliza Secure Socket Layers (SSL, por sus siglas en inglés) para codificar y proteger tu información privada mientras se conecta de un lugar a otro por medio de Internet. CNET en español tiene algunos consejos para protegerte de esta vulnerabilidad.
roboform-toolbar.jpg
La barra de herramientas de RoboForm Crédito: captura de pantalla por Lance Whitney/CNET
 

¿Cómo sabes si alguno de los sitios que utilizas más frecuentemente está en riesgo? Los detectores de Heartbleed de LastPass y Qualys te dejan ingresar un sitio específico de Internet para identificar si han sido afectados. CNET también tiene una lista de los sitios más populares para ver si el error ya fue resuelto dentro de sus servidores. Muchos de estos sitios, incluso los que ya resolvieron el problema, piden que sus usuarios cambien sus contraseñas en caso de que su información haya sido expuesta.

Pero, ¿qué es exactamente un administrador de contraseñas? Programas como RoboForm y LastPass realizan algunas tareas para evitarte la molestia de tener que estar recordando todos tus passwords. Generan contraseñas complejas que son difíciles de hackear y crean listas de tus claves en todos los sitios protegidos, ahorrándote el trabajo de tener que acordarte de cada una de ellas o apuntarlas en algún papelito.

Estos administradores no te protegen en contra de Heartbleed, pero te llevan directamente a los sitios en los que tienes que cambiar tus claves.

Ahora mismo estoy modificando mis contraseñas con la ayuda de RoboForm. Para hacerlo solo tengo que abrir la lista de mis cuentas dentro de RoboForm y seleccionar un sitio Web específico. RoboForm inicia mi sesión automáticamente utilizando mis usuario y contraseña. Después utilizó el sistema del sitio para cambiar mi password y RoboForm lo guarda automáticamente.

Sin RoboForm, el tener que cambiar las claves en todos los sitios seria un verdadero dolor de cabeza y me tomaría mucho tiempo.

Pero, estos administradores guardan mi información en Internet ¿no significa que también están en riesgo?

En un blog escrito la semana pasada, RoboForm dijo que sus sitio no fue afectado por el error de Hearbleed por que utilizan un versión distinta de SSL, la cual no es susceptible al fallo. Bill Carey, vicepresidente de mercadotecnia de Siber Systems, quienes venden RoboForm, le dijo q CNET desde entonces el sitio ha actualizado la versión del software de su OpenSSL a la 1.0.1g, el cual salió la semana pasada para resolver el error de Heartbleed.

En su propio blog, LastPass admitió que era vulnerable a Hearlbleed porque contaba con la versión afectada de OpenSSL, pero indicaron que cuentan con  más medidas de seguridad para codificar la información que está siendo trasmitida por medio del SSL. LastPass también utiliza una función conocida como “perfect forward secrecy”, que realiza cambios claves de seguridad para que el tráfico pueda ser decodificado aunque una de las contraseñas de seguridad haya sido obtenida.

Independientemente de Heartbleed, ¿quiénes utilizan administradores de contraseñas tienen que preocuparse por guardar todas sus contraseñas en un solo producto?.

“Creo que es un punto cien por ciento válido” dijo Carey, “y siendo honestos, sino trabajara aquí probablemente tendría las mismas dudas. Es válido que sea la preocupación número uno porque estas compartiendo mucha información personal que, de ser utilizada maliciosamente, podría ser peligrosa” agregó.

En repuesta, Carey mencionó dos medidas que RoboForm toma para proteger sus datos:

Primera: todos los datos guardados y transmitidos en línea están codificados. La información también esta almacenada en servidores protegidos por contraseñas y firewalls.

Segunda: productos como RoboForm y LastPass le sugieren a sus usuarios el crear una clave maestra para codificar y proteger todas sus otras claves. Esta contraseña se guarda localmente y tú eres la única persona que la conoce. Aunque tu información haya quedado expuesta en Internet, nadie más tendría acceso a tus otras credenciales porque no tienen tu clave principal.

Por supuesto que los usuarios deben asegurarse de que su contraseña maestra sea lo suficientemente compleja para evitar ser descifrada.

RoboForm también ofrece una versión de escritorio de su software que no guarda tus claves de acceso en Internet sino que, las mantiene solamente en tu computadora.

En este mundo altamente conectado tenemos que batallar entre varias cuentas en diversos sitios Web y no hay una manera perfecta de administrar nuestra seguridad ante estos riesgos pero el utilizar uno de estos administradores realmente facitila el proceso, especialmente cuando nos enfrentamos a un error de seguridad del tamaño de Heartbleed.