No basta con encontrar una contraseña compleja y única y almacenarla en un gestor de contraseñas o en un navegador. También necesita saber si su contraseña ha sido robada en una violación de la base de datos o en cualquier ataque, y cuándo, de modo que pueda actuar con la suficiente rapidez para cambiar esa contraseña antes de que su información personal se vea potencialmente comprometida. Afortunadamente, ahora hay muchos servicios de supervisión que revelan si sus contraseñas han sido robadas, y muchos de ellos están diseñados para permitirle actuar rápidamente y cambiarlas.
Servicios básicos para revelar las infracciones del correo electrónico
Desde hace tiempo existen dos servicios fiables para comprobarlo: HaveIBeenPwned y un servicio gestionado por el Hass-Platner-Institut de Potsdam (Berlín). Ambos te piden que introduzcas tu dirección de correo electrónico (no tu contraseña) y ambos comparan tu correo electrónico con una base de datos de infracciones conocidas.
La reputación de HaveIBeenPwned atrae a aquellos que desean hacer públicos sus ataques, por lo que los informes de infracciones del sitio parecen bastante completos. El sitio enumera las infracciones en las que se detectó una dirección de correo electrónico, junto con cualquier información complementaria, como el sexo o el número de teléfono, por ejemplo. El sitio organiza las infracciones en función del servicio atacado, no de la fecha. ¿Por qué es importante?
Porque si tu correo electrónico estuvo expuesto a una brecha en 2016, por ejemplo, lo más probable es que tu contraseña haya sido cambiada desde entonces. Pero si su correo electrónico y su contraseña fueron «expuestos» el mes pasado, querrá cambiarlos inmediatamente. HaveIBeenPwned también publica la información de infracción de cualquier dirección de correo electrónico, lo cual es útil para controlar a los amigos y familiares, aunque no es lo mejor para la privacidad.
El servicio de HPI adopta un enfoque diferente. Enumera las violaciones por fecha, junto con una matriz de la información expuesta. Si se introduce una dirección de correo electrónico en el sitio, se enviará un informe de seguridad a ese correo específico, junto con un gráfico que muestra qué datos están en riesgo y de qué infracción.
Los navegadores añaden el control de las contraseñas de forma gratuita
Ambos servicios sólo revelan si una dirección de correo electrónico específica ha formado parte de una violación, pero ¿qué pasa con un nombre de usuario que no coincide con un correo electrónico? Ahí es donde debe intervenir un servicio de confianza que te conozca, así como las contraseñas que has elegido. Sin embargo, no vayas a la caza de sitios al azar para «comprobar» tus contraseñas: es mucho más preferible ceñirse a unos pocos nombres fiables. Además, ten en cuenta que la supervisión de contraseñas es un servicio de pago para la mayoría de los gestores de contraseñas, pero no para los gestores de contraseñas dentro de un navegador web.
Google Password CheckupEn 2019, Google añadió un complemento de navegador gratuito para Chrome que te avisa, una vez que entras en un sitio comprometido, si tu correo electrónico o tu contraseña han sido comprometidos. En octubre de 2019, Google comenzó a verificar automáticamente las contraseñas contra las violaciones y, a partir de Chrome 79, comenzó a monitorear su uso en línea para evitar terminar siendo víctima de phishing o ser engañado para divulgar su contraseña bajo falsos pretextos.
Si entras en passwords.google.com y te autentificas, el comprobador de contraseñas online de Google te dará un panel rápido de qué contraseñas han sido expuestas en fallos de seguridad, cuáles han sido duplicadas en varios sitios y cuáles podrían mejorarse con otras contraseñas complejas para evitar ser fácilmente hackeadas en caso de fallo. También hay enlaces para cambiar las contraseñas en los propios sitios. Sin embargo, esto sólo funciona si has almacenado las contraseñas mediante el propio Google.
Firefox Lockwise
Firefox Lockwise, que forma parte del navegador gratuito Mozilla Firefox, funciona de forma ligeramente diferente. No ofrece los consejos de Google sobre las contraseñas redundantes y débiles, pero por lo demás su función de seguimiento de contraseñas funciona de forma similar. Además, parece funcionar independientemente de si has almacenado una contraseña dentro de Firefox o simplemente has importado las contraseñas desde otro navegador.
Sin embargo, al igual que Google, necesita «conocer» tu contraseña, lo que requiere que la almacenes en el navegador. La forma más fácil de acceder a Lockwise es escribir about:logins en la barra de URL de Firefox. Si se ha filtrado una contraseña, verás un banner rojo, la cuenta y la contraseña en cuestión, y un enlace para saltar a la cuenta en cuestión.
Monitor de contraseñas de Microsoft Edge
El año pasado Microsoft prometió un monitor de contraseñas dentro de Microsoft Edge, que pronto se implementará como parte de Edge 88. Al igual que los servicios similares ofrecidos por otros proveedores de navegadores, será gratuito.
Control de contraseñas de pago: gestores de contraseñas
Ya hemos visto los gestores de contraseñas, que son sin duda la forma más cómoda de gestionarlas. A continuación, un resumen de lo que hacen los gestores de contraseñas en términos de supervisión.
LastPass
Aunque LastPass ofrece una versión robusta y gratuita de los servicios de almacenamiento de contraseñas que ofrecen los navegadores, la supervisión de contraseñas es un servicio de pago. LastPass vigilará la «web oscura» en caso de que una contraseña se encuentre «expuesta» y también te enviará una notificación si lo está, algo que los fabricantes de navegadores aún no hacen. ¿Vale la pena pagar los 3 dólares que cobra LastPass al mes por el servicio? Si valora el bloqueo instantáneo de sus datos personales, definitivamente sí.
Dashlane
Dashlane también considera que la supervisión de la «web oscura» es un servicio de pago y cobra 6,49 dólares al mes por activarlo.
1Contraseña
1Password no ofrece un plan gratuito, pero su servicio básico de 2,49 dólares al mes incluye lo que la empresa denomina Watchtower, un servicio que avisa de las contraseñas comprometidas, así como de las que deberían actualizarse por ser débiles. 1Password trabaja en realidad con el servicio HaveIBeenPwned para comprobar tus contraseñas (no tu correo electrónico) con su base de datos de contraseñas pirateadas. Pero como medida de seguridad adicional, 1Password envía sólo una parte de tu contraseña (o, concretamente, parte del hash de la contraseña), recoge todas las posibles coincidencias y, finalmente, las comprueba de forma privada en tu dispositivo.
CambioDigital On Line