4 gestores de contraseñas de código abierto
Los gestores de contraseñas se han convertido en un tipo de herramienta muy recomendable para los usuarios que manejan una gran cantidad de contraseñas, sobre todo viendo cómo usamos la mayoría la red de redes.
El uso de un gestor se recomienda principalmente porque el usuario no puede recordar una gran cantidad de contraseñas. Esto conlleva el riesgo de repetirlas a través de diversos servicios, situación que empeora si se emplea un mismo nombre de usuario que suele corresponder con una cuenta de correo electrónico. Si uno usa la memoria de su cabeza para almacenar las contraseñas, además de repetirlas, es probable que termine generando frases no muy fuertes que pueden ser susceptibles de acabar averiguadas mediante un ataque de fuerza bruta, o sea, probar posibles contraseñas una a una hasta dar con la correcta.
Aparte de la no repetición y las capacidades de generar contraseñas fuertes y de almacenar una gran cantidad de estas, hay otras características que sería recomendable tener en consideración cuando uno se plantea utilizar un gestor:
- Acceso online y offline: hay gestores offline que almacenan las contraseñas en local o en un unidad USB y otros que funcionan online y se encargan de sincronizar a través de la nube, obviamente empleando cifrado para proteger el contenido. Los gestores online resultan más cómodos, sobre todo si se quiere tener las mismas contraseñas en varios equipos, pero hay muchas personas que desconfían de estos y siguen utilizando gestores offline que delegan en el usuario la responsabilidad de llevar las contraseñas de un lugar a otro. De hecho, los riegos de los gestores online son tan reales que por ahí tenemos el caso de LastPass.
- Autenticación en dos pasos: la autenticación en dos pasos se ha convertido en un mecanismo que muchos servicios ya obligan a utilizar para garantizar que la persona que accede es la legítima y no un actor malicioso. Si el gestor de contraseñas soporta la autenticación en dos pasos, este es un plus a tener muy en cuenta.
- La integración con los navegadores web es otro factor importante debido a que minimiza la interacción con las contraseñas y automatiza el acceso a distintos sitio web. Esto debería lograrse con tan solo instalar el correspondiente complemento.
- Captura automática de contraseñas: siguiendo con el complemento para navegadores web, es recomendable que el gestor de contraseñas pregunte al usuario si desea almacenar los datos cuando accede a algún servicio con su cuenta y contraseña. Algunos gestores son capaces de detectar los procesos de actualización de contraseñas.
- Alertas automáticas de seguridad: algunos gestores de contraseñas avisan cuando un servicio o sitio web ha sido atacado y los datos de acceso de los usuarios se han visto o han podido verse comprometidos. Si la alerta salta, lo recomendable es actualizar la contraseña correspondiente los antes posible.
- Que sea una aplicación portable y/o con soporte para móviles: lo ideal sería que el gestor de contraseñas fuese una aplicación portable, dicho de otra manera, que se pueda llevar en un pendrive y no requiera de instalación. Otra opción deseable sería que tuviese una versión para móviles y tablets para poder gestionar las contraseñas desde cualquier lugar en caso de ser un servicio que almacene en la nube.
- Auditorías de seguridad: esto sirve para detectar si el usuario tiene en su baúl contraseñas débiles o repetidas. Como es obvio, en caso de ser detectadas, lo recomendable es cambiar las contraseñas que correspondan lo antes posible.
- Contraseñas de un solo uso: las contraseñas de un solo uso permiten, como bien indican su definición, que el usuario pueda acceder al gestor de contraseñas solo una vez, lo que refuerza al sistema en caso de acabar comprometido gracias a que la misma contraseña no servirá para otra ocasión.
- Compartir contraseñas: algunos gestores permiten compartir contraseñas de forma segura con un amigo, ya sea dentro o fuera del marco del propio gestor de contraseñas, aunque esta característica no parece ser muy atractiva viendo los tiempos que vivimos.
Por qué los gestores de contraseñas Open Source son importantes
Vivimos en los tiempos en los que la privacidad se está convirtiendo en un asunto cada vez más importante. Aquí no solo entran en juego los actores maliciosos que atacan servidores u ordenadores personales con el fin de obtener datos comprometedores, sino también la falta de transparencia de buena parte del software que usamos en nuestro día a día.
En los últimos tiempos hemos visto cómo Microsoft ha recibido fuertes críticas debido a cómo emplea la inteligencia artificial en Windows, y es que características como Recall han terminado por despertar las susceptibilidades de muchos. Este no es más que el último episodio de un historial que el gigante de Redmond ha ido ampliando en lo que respecta a dudar de la privacidad real que proporciona Windows, ya que el sistema tiene implementada desde Windows 10 una telemetría que apunta a ser bastante intrusiva.
Otro software que tradicionalmente ha sido duramente criticado por cuestiones relacionadas con la privacidad es Google Chrome, el navegador del gigante del buscador, que ha llegado a ser acusado de ser un spyware. Aquí el modelo de negocio del gigante de Mountain View, que tiene en la publicidad dirigida uno de sus principales puntales, no ayuda a mejorar la imagen que muchos tienen de la aplicación, que en la actualidad sigue siendo con gran diferencia la más popular dentro de su segmento.
¿Qué tienen en común Windows y Google Chrome? Pues que ambos son software privativo, por lo que auditar lo que realmente hacen es, en un principio, no tan sencillo como si fueran de código abierto. Que nadie dude que Microsoft y Google llevan a cabo auditorías de seguridad de su software, pero estas se realizan mediante contratos que contienen draconianas exigencias a nivel de confidencialidad. Dicho de otra manera, Windows y Google Chrome no pueden ser auditados libremente, cosa que sí se puede hacer con el software de código abierto.
Llegados a este punto, los gestores de contraseñas de código abierto son importantes gracias a que su código fuente es auditable y por lo tanto es posible saber qué hacen. Sin embargo, quedan agujeros como el hecho de que el cliente puede ser de código abierto, pero el servidor privativo, así que en el caso de los gestores online que operan bajo esa estructura no se puede saber qué se ocurre con los datos que están en la nube, a pesar de que estos deberían estar cifrados y estar solo disponibles para su legítimo dueño.
Pese a todo, que solo el cliente sea de código abierto es un paso hacia adelante debido a que al menos se puede averiguar si los datos enviados son estrictamente los que deben transferirse o si hay algún tipo de recolección que abarca cosas que no debería. Esto también se puede aplicar a los gestores de contraseñas que solo funcionan de manera offline, y es que el software privativo siempre puede albergar cosas desagradables.
Como último punto antes de mencionar la lista de gestores, no viene mal recordar que el Open Source no significa invencibilidad frente a los fallos de seguridad, porque eso depende más bien de la calidad del código y de un mantenimiento constante y correcto. Pese a todo, que el código pueda ser auditado libremente siempre será una mayor garantía en términos de privacidad que el software privativo.
Cuatro gestores de contraseñas de código abierto populares
Bitwarden
Bitwarden es probablemente el gestor de contraseñas online de código abierto más popular que hay. Soporta oficialmente los navegadores web más populares, iOS, iPadOS, watchOS, Android y cuenta con aplicaciones para Windows, Linux y macOS. Gracias a que el código fuente del cliente está publicado bajo la licencia GPLv3, ofrece máxima transparencia y teórica facilidad para llevarlo a otros sistemas, ya sea mediante port u otro proyecto derivado basado en el código original.
La parte del servidor de Bitwarden también es Open Source al estar publicado bajo la licencia AGPLv3, aunque en este frente se emplean algunos módulos privativos. Esto, junto a la API que los responsables ponen a disposición, permiten descentralizar e implementar el gestor de contraseñas a nivel de una empresa, por ejemplo.
A nivel de características dirigidas a los usuarios, nos encontramos con baúl cifrado, acceso mediante autenticación en dos factores, acceso sin contraseña, generador de contraseñas aleatorias y desbloqueo biométrico. Tiene planes de pago con algunas características adicionales y con los que es posible contribuir a la sostenibilidad del proyecto.
KeePass
Y salto a un proyecto veterano, nacido oficialmente en 2003, que probablemente sea el más popular entre las soluciones offline dentro de su segmento. KeePass almacena contraseñas en una base de datos cifrada a la que es posible acceder con contraseña o clave digital. En un principio solo estuvo disponible para Windows, pero existe un derivado llamado KeePassXC que ofrece auténtico soporte multiplataforma. Gracias a que es software libre, tiene una gran cantidad de bifurcaciones y derivados no oficiales para muchos sistemas operativos diferentes, incluidos los móviles.
Entre sus características proporciona autenticación en dos factores y proporciona protección contra los keyloggers (el software que se dedica a registrar las pulsaciones de teclado), soporte de mutiusuario, reinicio del portapapeles, generador de contraseñas y soporte para plugins. Los complementos para navegadores deben ser instalados aparte.
Proton Pass
Este es un proyecto más joven y que procede de los mismos responsables que están detrás del servicio de correo electrónico cifrado Proton Mail. En un principio solo estaba disponible para Android e iOS, pero conforme pasó el tiempo fue llegando a Windows, Linux y macOS. Una ventaja que tiene la empresa que está detrás es que está radicada en Suiza y no en Estados Unidos, por si alguien no le da confianza la forma de funcionar del país norteamericano.
Debido a que los gestores de contraseñas no son en sí algo nuevo, sino todo lo contrario, en Proton Pass nos encontramos con almacenamiento y sincronización cifrada entre dispositivos, generador de contraseñas, doble autenticación, soporte de Passkey, importación y exportación, integración con el navegador web vía extensiones y alertas de seguridad, entre otras cosas.
Una característica interesante de Proton Pass es la integración con Proton Sentinel, un nuevo servicio de seguridad impulsado por inteligencia artificial del cual, eso sí, solo podrán beneficiarse los suscriptores del plan de pago Pass Plus (4,99€ al mes o 23,88€ al año), indispensable para acceder a funciones avanzadas como el uso sin conexión.
Padloc
El sitio de Padloc dice que “no sólo le ayuda a recordar todas sus contraseñas, sino que también almacena de forma segura tarjetas de crédito, notas, documentos y mucho más”, además de emplear cifrado de extremo a extremo. Aquí no hay nada que no pueda hacerse con Bitwarden, por ejemplo, pero no viene mal tener en cuenta más alternativas de código abierto en un segmento en el que la transparencia debería ser importante.
Padloc soporta oficialmente a nivel de sistemas Linux, Windows, macOS, iOS y Android y proporciona extensiones para Google Chrome y Firefox, por lo que, con la excepción de Microsoft Edge, soporta prácticamente todo el software popular que hay en el mercado de consumo, y la extensión para Chrome debería de poderse instalar en Edge. Su código fuente está publicado bajo la licencia AGPLv3, por lo que puede ser considerado como software libre de línea dura.
Para terminar, y aunque puede ser usado de forma gratuita, Padloc pone a disposición un par de planes de pago con características adicionales como la autenticación en varios factores y 1GB de almacenamiento cifrado para ficheros.
Conclusión
Estos cuatro ejemplos son de los más populares entre los gestores de contraseñas de código abierto y además son fáciles de usar o al menos lo son en términos relativos. Obviamente, hay otras muchas opciones con perspectivas diferentes, pero saber cuál es la ideal nos lleva al típico proceso de probar hasta hallar con lo que más le guste o mejor se ajuste al usuario.
Como ya he dicho, el código abierto no en sí ninguna panacea en términos de seguridad, pero sí es un valor añadido que al menos permite verificar que el gestor no haga nada extraño, cosa que posiblemente no pueda ser averiguada con una seguridad del 100% en el software privativo.