Crear una contraseña única y segura y almacenarla en un gestor de contraseñas o en el propio navegador web no parecen medidas suficientemente buenas. Necesitas saber si tu contraseña fue robada para actuar rápido y cambiarla antes de que tu información quede comprometida.
Ha pasado algún tiempo desde que se produjeran robos masivos como los 3.000 millones de cuentas en Facebook, los 1.500 millones en Yahoo y muchas otras, y sin embargo, no somos conscientes de que a diario se producen infinidad de incidentes de seguridad de este tipo.
El problema al que nos enfrentamos como usuarios es saber de qué forma hemos sido afectados para tratar de poner remedio a la brecha de seguridad. Existen ya muchos servicios de monitorización de contraseñas que revelan si tu contraseña ha sido robada.
Muchos están diseñados para permitirle actuar rápidamente y cambiarlos. Veámos qué medidas debes adoptar para poner tus datos a salvo.
Servicios que revelan infracciones de correo electrónico
Encontramos dos servicios interesantes que nos permitirán saber por nuestra dirección de correo electrónico si hemos sufrido una filtración o brecha de seguridad. Se trata de HavelBeenPwned y el Hass-Platner-Institut en Potsdam (Berlín).
Ambos te piden que introduzcas la dirección de correo (no tu contraseña) y comparan la dirección con diversas bases de datos de infracciones conocidas.
La reputación de HaveIBeenPwned atrae a aquellos que desean dar a conocer sus ataques, por lo que los informes de violaciones del sitio parecen completos. El sitio enumera las infracciones de la dirección de correo electrónico, junto con información adicional como el género y número de teléfono.
El sitio organiza las infracciones en función del servicio atacado, no por la fecha. ¿Por qué es importante? Porque si tu correo electrónico fue expuesto en una infracción de 2016, por ejemplo, es probable que tu contraseña haya sido cambiada desde entonces.
Pero si tu correo electrónico y contraseña fueron expuestos el mes pasado, querrás cambiarlos de inmediato. HaveIBeenPwned también publica la información de la infracción para cualquier dirección de correo electrónico, que es útil para controlar a amigos.
El servicio de HPI adopta un enfoque muy diferente. Enumera las infracciones por fecha, junto con una matriz de la información que quedó expuesta. Si ingresas una dirección de correo electrónico en el sitio, este enviará un informe de seguridad a ese correo electrónico.
Te llegará un cuadro codificado por colores en los que se expone qué datos están en riesgo y cuales se vieron afectados, con lo que el informe es mucho más completo sobre hasta qué punto la brecha de seguridad pudo afectar a tus datos confidenciales.
Los navegadores añaden monitorización de contraseñas gratuitos
Los dos servicios citados anteriormente revelan si una dirección de correo electrónico específica ha formado parte de una brecha de seguridad. Sin embargo, no informa si un nombre de usuario que no es de correo electrónico, por ejemplo, “billg”, ha sido expuesto.
Aquí, tú desearás conocer un servicio que sepa decirte que sabe de tí, más allá de las contraseñas que hayas elegido. Ten en cuenta que la gestión de contraseñas es un servicio de pago para la mayoría de los programas específicos, pero no para los gestores de contraseñas de un navegador web.
Verificación de contraseña de Google
Allá por el año 2019, Google agregó un complemento gratuito a su navegador Chrome mediante el cual se advertía al usuario cuando accedía a un sitio web comprometido, si tu correo electrónico o contraseña se habían visto comprometidas.
Fue entonces cuando Google comenzó a verificar automáticamente las contraseñas contra las infracciones y, a partir de la versión de Chrome 79, el navegador empezó a monitorizar su uso en línea para evitar prácticas de “phishing” o divulgación de contraseñas.
Ahora, si vas a passwords.google.com y te autenticas, verás la verificación de contraseñas de Google donde mediante un panel visual te informa de las contraseñas que han sido expuestas en brechas de seguridad o que se han duplicado en varios sitios web.
También hay enlaces para cambiar las contraseñas de los sitios web. Sin embargo, es algo que solo funciona si has almacenado las contraseñas utilizando la herramienta propia de Google.
En concreto cuentas con tres pestañas diferentes que te permitirán comprobar las contraseñas que has reutilizado en diferentes sitios (algo no recomendable, por cierto), así como aquellas cuentas que utilizan una contraseña poco segura.
Firefox Lockwise
Firefox Lockwise, como parte de la versión gratuita del navegador Mozilla Firefox, funciona de una manera ligeramente diferente. No ofrece las recomendaciones que hace Google sobre contraseñas redundantes y débiles, pero su función de monitorización es similar.
También funciona independientemente de si has almacenado una contraseña en Firefox o simplemente has importado contraseñas de otro navegador. Sin embargo, al igual que Google, necesita “saber” tu contraseña, lo que requiere que la almacene en el navegador.
La forma más fácil de llegar a Lockwise es escribiendo en ‘Acerca de: inicios de sesión’ en la barra de la URL de Firefox.
Si una contraseña ha quedado expuesta, verás un banner de color rojo brillante, la cuenta y la contraseña en cuestión, y un enlace para dirigirte a la cuenta en cuestión. (También puedes marcar las cuentas que ya hayas desactivado).
Monitor de contraseñas de Microsoft Edge
El año pasado, Microsoft prometió el lanzamiento de un ‘Monitor de contraseñas’ integrado en Microsoft Edge, y pronto se implementará como parte de Microsoft Edge 88. Al igual que los otros servicios similares ofrecidos por otros fabricantes de navegadores, será gratuito.
Gestores de contraseñas de pago
El hecho de utilizar software específico para gestionar tus contraseñas tiene claras ventajas, ya que resulta ser la forma más efectiva a la hora de utilizar contraseñas fuertes y robustas propuestas en ocasiones por la plataforma de manera compleja y aleatoriamente.
LastPass
Aunque LastPass ofrece una versión sólida y gratuita de los servicios de almacenamiento de contraseñas que ofrecen los navegadores, la supervisión de contraseñas es un servicio por el que cobra el servicio LastPass de LogMeIn.
LastPass vigilará la ‘web oscura’ en caso de que se filtre una de tus contraseñas, pero también te enviará una notificación cuando lo haga, algo que los fabricantes de navegadores aún no hacen.
De esta forma te preguntarás, ¿merece la pena pagar los 3 € que cuesta LastPass por su servicio? Si valoras tus datos personales, no cabe la menor duda.
Dashlane
Dashlane es otra opción que tiene en cuenta la monitorización y rastreo en la ‘web oscura’ con el fin de ofrecerte información sobre tus datos han quedado expuestos. Tiene una vertiente para uso personal y otra más profesional, con un precio anual de 39,99 €.
1Password
1Password no ofrece un nivel gratuito, pero si un servicio básico por poco más de 3,99 dólares por usuario al mes que incluye lo que la compañía llama ” Watchtower “, que alerta al usuario sobre contraseñas comprometidas, así como aquellas que deben actualizarse porque son débiles.
1Password realmente trabaja con el servicio HaveIBeenPwned que hemos mencionado antes para verificar las contraseñas (no el correo electrónico) con su base de datos de contraseñas robadas.
Pero como medida de seguridad adicional, 1Password envía solo parte de su contraseña (o, específicamente, parte del hash de la contraseña), recopila todas las posibles coincidencias y luego las verifica de forma privada en tu máquina.
Tenemos un artículo especial sobre los mejores gestores de contraseñas para Windows. Algunos de los más destacados los comentamos a continuación.
Artículo original publicado en PCWorld US.