Tecnología

Cómo Kaspersky almacena contraseñas de forma segura

2 de mayo de 2024
Administrador

El primer jueves de mayo es un día muy especial. Desde hace más de una década, en este día se ha celebrado el Día Mundial de la Contraseña. Para Kaspersky, es una ocasión importante. Sin embargo, no hacemos una fiesta, sino que aprovechamos para recordarte una vez más uno de los temas importantes de la vida. Así es: contraseñas. Analizaremos cómo crearlas, dónde almacenarlas de forma segura y por qué “qwerty12345” es un no rotundo.

Esta conversación es crucial porque muchas personas aún confían en contraseñas débiles y reutilizadas que son demasiado fáciles de adivinar y han caído repetidamente en manos de piratas informáticos. En la publicación de hoy explicaremos por qué sucede esto y cómo abordarlo.

¿Cómo descubrimos las filtraciones?

Nuestra red global de inteligencia de amenazas, Kaspersky Security Network (KSN), desempeña un papel clave. Recoge y analiza datos de ciberamenazas de todo el mundo; la mayoría de estos datos son de nuestros clientes, quienes los facilitan de forma anónima y voluntaria. Nuestros algoritmos de aprendizaje automático (IA) y personas humanas expertas analizan estos datos despersonalizados, y estos análisis nos permiten responder rápidamente ante ciberamenazas emergentes. El tiempo promedio entre la aparición de una nueva amenaza y su reconocimiento por parte del equipo de KSN es de solo 40 segundos, ¿no es increíble?

Gracias a Kaspersky Security Network, sabemos que en 2023 hubo más de 32 millones de intentos de ataque a las contraseñas de usuarios de KSN. En 2022, el número fue aún mayor: un mogollón de 40 millones. Esto significa intentos de piratería a contraseñas más de una vez por segundo en todo el mundo. Además, nuestra investigación de finales de 2023 dio cuenta de que los ataques no solo afectan a usuarios en el hogar, las empresas tampoco son inmunes. El 76 % de las personas emprendedoras de pequeñas empresas encuestadas se ha enfrentado, al menos, a un ciberincidente en los últimos dos años, en los que casi una cuarta parte de los ataques (24 %) se produjeron debido al uso de contraseñas débiles, repetidas o antiguas.

¿Cómo verificamos tus datos?

Empleamos tres métodos para verificar si tus datos y contraseñas se han visto vulnerados:

  1. Dirección de correo electrónico de usuarios de Kaspersky Standard, Kaspersky Plus y Kaspersky Premium. Es muy sencillo: introduces en la aplicación las direcciones de correo electrónico que tú y tus seres queridos usan para las cuentas en línea. Te avisaremos si alguno de tus datos personales, incluidas las contraseñas, se ha filtrado a Internet o la red oscura. No te preocupes; nuestra aplicación no recibe ni almacena los datos vulnerados, sino que solo proporciona información acerca del tipo de dato relevante. Te alertaremos si una filtración involucra tu contraseña, dirección particular, datos de identificación o pasaporte, número de tarjeta bancaria o cualquier combinación de estos datos. Además, no solo te avisaremos; también te facilitaremos consejos útiles de nuestros expertos en ciberseguridad sobre las acciones apropiadas que debes tomar, ya que cada tipo de filtración requiere una respuesta específica.
  2. Número de teléfono de usuarios de Kaspersky Premium. Este método funciona de manera similar a la verificación de correo electrónico, pero se centra en las cuentas vinculadas no a direcciones de correo electrónico sino a números de teléfono. Estas cuentas a menudo pertenecen a servicios más “importantes” como bancos, instituciones gubernamentales y grandes mercados en línea, donde la filtración de datos puede tener graves consecuencias. Solo debes introducir tu número de teléfono en la aplicación para que podamos verificar si ha aparecido en alguna filtración de datos. Incluso podrás verificar no solo tu número, sino también los de toda tu familia. Lo mejor es que solo debes escribir las direcciones de correo electrónico y los números de teléfono una única vez. Desde ese momento, supervisaremos continuamente la Web en busca de filtraciones. Si tus datos se exponen, recibirás una alerta inmediata con recomendaciones sobre qué hacer.
  3. Algoritmo especial en Kaspersky Password Manager. A diferencia de los dos métodos anteriores, que verifican todos los posibles escenarios de filtraciones, nuestro administrador de contraseñas se centra en analizar las contraseñas que almacenas allí. Incluso sin tener conexión, podemos decirte qué contraseñas son débiles, cuáles se repiten y cuáles son lo suficientemente seguras. Además, Kaspersky Password Manager busca regularmente todas tus contraseñas en las bases de datos de credenciales vulneradas y te notifica cualquier coincidencia.

También puedes verificar si se ha vulnerado una contraseña con nuestro Comprobador de contraseñas en línea. Simplemente introduce la contraseña que desees verificar y el sistema te dirá cuántas veces ha aparecido en las bases de datos filtradas y si se puede considerar segura.

¡Vaya! Estas son malas noticias: la contraseña "qwerty12345" se ha filtrado al menos 285 000 veces.

¡Vaya! Estas son malas noticias: la contraseña “qwerty12345” se ha filtrado al menos 285 000 veces.

Sin embargo, este método tiene un inconveniente frente a los tres anteriores: requiere verificaciones manuales, mientras que Kaspersky Password Manager, Kaspersky Plus y Kaspersky Premium supervisan automáticamente en segundo plano las filtraciones.

Entonces, ¿Kaspersky almacena las contraseñas de todos sus usuarios? Por supuesto que no. Nadie del personal de la empresa (desarrolladores, analistas, editores, diseñadores ni incluso el propio Eugene Kaspersky) tiene acceso a tus datos confidenciales. Ya hemos hablado en detalle de nuestra política de conocimiento cero aquí. A continuación, explicaremos por qué no podemos acceder a las contraseñas que almacenas en Kaspersky Password Manager.

Por qué almacenar contraseñas en Kaspersky Password Manager es más fácil y seguro

Memorizar todas las contraseñas o almacenarlas, por ejemplo, en aplicaciones para tomar notas es arriesgado. Nuestra solución específica Kaspersky Password Manager está diseñada para esta finalidad. Crea, almacena e introduce automáticamente contraseñas seguras y únicas en sitios web y aplicaciones, las verifica para comprobar si se han vulnerado y genera códigos de autenticación de dos factores.

Te explicaremos de forma sencilla cómo funciona Kaspersky Password Manager. Todas tus contraseñas se guardan en un repositorio encriptado mediante el algoritmo de cifrado simétrico AES-256. La Agencia de Seguridad Nacional de EE. UU. considera que este estándar de cifrado es lo suficientemente robusto como para almacenar secretos gubernamentales. La clave de cifrado es tu contraseña principal, que creas durante la configuración inicial de la aplicación. Cada vez que intentas acceder al repositorio de datos, Kaspersky Password Manager solicita la contraseña y la utiliza para descifrar los datos.

En ese repositorio, no solo puedes almacenar contraseñas, sino también otros datos importantes, como números de tarjetas bancarias, documentos escaneados, notas, entre muchos otros. Por lo tanto, tus datos confidenciales se almacenan y sincronizan entre todos tus dispositivos en forma cifrada “ultrasecreta”.

Este nivel de seguridad supera con creces al almacenamiento de contraseñas en navegadores. Recomendamos no aceptar las insistentes sugerencias de los navegadores para almacenar contraseñas; dichas contraseñas se pueden extraer del navegador en cuestión de segundos.

El acceso al repositorio cifrado en Kaspersky Password Manager se concede exclusivamente con la contraseña principal. En Kaspersky, no conocemos esta contraseña y nunca la almacenamos en ningún lado. Si la olvidas, no podrás recuperar el contenido del almacén y deberás crear uno nuevo. Esta estrategia garantiza el más alto nivel de seguridad: incluso si un pirata informático obtiene acceso al repositorio cifrado de Kaspersky Password Manager, no podrá descubrir las contraseñas, los datos de las tarjetas bancarias ni ningún otro documento allí guardado.

¿Cómo podemos verificar si se han filtrado tus contraseñas si no las conocemos?

En este momento, es muy útil el algoritmo de hash seguro 1 (SHA-1). Funciona de la siguiente forma: toma cualquier dato y lo usa para crear un valor hash, es decir, una cadena única y binaria de longitud fija para los datos introducidos. Por ejemplo, si la contraseña real es “qwerty12345”, su representación en “idioma SHA-1” se vería así: 4e17a448e043206801b95de317e07c839770c8b8.

Una contraseña siempre produce el mismo hash, y si dos hash coinciden, eso significa que las contraseñas originales también coinciden. KSN almacena los cálculos de hash para todas las contraseñas pirateadas y filtradas que se conocen. Para verificar tu contraseña, calculamos su hash de forma local en tu dispositivo, luego enviamos solo la primera mitad de este hash a los servidores de Kaspersky y buscamos todos los hash de las contraseñas vulneradas que comienzan igual. Esos hash se vuelven a enviar a tu dispositivo, donde cada uno se compara con el hash completo de tu contraseña. Si se encuentra una coincidencia exacta, esto significa que se ha vulnerado tu contraseña.

Entonces, no conocemos tus contraseñas porque nunca abandonan tu dispositivo sin cifrarse. En teoría, es posible recuperar la contraseña original a partir de su hash. Sin embargo, los hash completos de tus contraseñas tampoco se envían nunca a ningún sitio desde tu dispositivo. Solo se envían fragmentos de hash a los servidores de KSN para compararlos, y es imposible restaurar la contraseña original con solo una porción del hash. Por lo tanto, verificar contraseñas en busca de filtraciones es completamente seguro.

Cómo crear la contraseña principal

Con Kaspersky Password Manager, solo tienes que recordar una única contraseña principal. La aplicación utiliza esta contraseña principal para cifrar los datos en el repositorio. Por ello, recomendamos que te tomes muy en serio su creación. Usar “qwerty12345” como contraseña principal es similar a colocar todos tus objetos de valor en una caja fuerte y luego dejar la llave puesta en la cerradura. Para facilitar el proceso y que puedas asegurarte de recordar la contraseña, te damos un consejo para hacerla segura pero fácil de recordar:

Piensa en una frase, cita o letra de canción que te guste. Toma una letra (no necesariamente la primera) o una combinación de letras de cada palabra en la frase e inserta caracteres especiales entre ellas. Reemplaza las letras similares a números o caracteres especiales con sus respectivos símbolos.

Por ejemplo:

“Que la Fuerza te acompañe” = Q!L!Fu3rz4!T!4

Una buena contraseña no es necesariamente una que tiene muchos caracteres especiales difíciles de recordar, sino una que resista el descifrado. Prueba la contraseña recién creada en nuestro servicio en línea Comprobador de contraseñas. Si confirmas que la contraseña es segura, puedes usarla como la contraseña principal de Kaspersky Password Manager. Recuerda que esta es la única contraseña que debes recordar, ya que nuestro administrador de contraseñas generará y almacenará automáticamente todas tus otras contraseñas y completará con ellas sitios web y aplicaciones.

Si prefieres el método a la vieja usanza de memorizar las contraseñas, usa la combinación que creaste como base, y para cada servicio y sitio web, añade una “extensión” mnemotécnica a fin de asegurarte de que todas las contraseñas sean únicas. Tenemos una guía detallada sobre esta técnica. ¿Y adivina qué? Muchos servicios, incluido Kaspersky Password Manager, permiten crear contraseñas usando… emojis y emoticonos.

Resumen