Contraseñas guardadas en el Navegador...mejor NO.

Las contraseñas guardadas en los navegadores son algo muy común por lo cómodo que resultan, sin embargo están lejos de ser seguras, especialmente cuando consideramos las extensiones que tienen acceso a los datos de la navegación y más si nos preguntamos, ¿Donde y Como se guardan esas contraseñas?


Si pensamos que las contraseñas se almacenan en la nube debemos considerar unos cuantos puntos, como nos indica Bing-ChatGPT:

Almacenar las contraseñas en la nube implica algunos riesgos que debes tener en cuenta. Por ejemplo123:

  • Introduce un único punto de fallo. Si el lugar donde se guarda la contraseña ha sido vulnerado, alguien la tiene y tratará de usarla en otros sitios. Si la contraseña se usa repetidamente, podría significar una gran pérdida de datos o algo peor.
  • Puede haber problemas de privacidad o cumplimiento legal si los datos se almacenan en servidores fuera de tu país o región.
  • Puede haber fallos técnicos o humanos que afecten a la disponibilidad o integridad de tus datos.
  • Puede haber ataques de phishing o malware que intenten robar tus credenciales o infectar tus dispositivos.

Para reducir estos riesgos, es importante que sigas algunas buenas prácticas, como42:

  • No almacenes tus claves de cifrado donde están tus datos. Hay varios métodos a considerar: guardar las claves en tus propios dispositivos mientras los datos están en la nube, separarlos por redes privadas virtuales (VPC) o incluso utilizar gestores comerciales de claves separados de tu ecosistema en la nube.
  • Utiliza una contraseña maestra para tu gestor de contraseñas que sea lo más fuerte posible y guárdala en algún lugar seguro. Es agotador tener decenas de cuentas, y más aún cientos.
  • Utiliza contraseñas únicas y complejas para cada sitio o servicio que uses. No reutilices las mismas contraseñas en diferentes lugares.
  • Utiliza la autenticación de dos factores siempre que sea posible. Esto añade una capa extra de seguridad al requerir un código o un dispositivo adicional para acceder a tus cuentas.
  • Mantén actualizados tus dispositivos y aplicaciones con las últimas versiones y parches de seguridad. Esto te protege de posibles vulnerabilidades o exploits.


Recordemos que la nube es una forma de acceder a servicios y datos a través de Internet, sin necesidad de tenerlos instalados en tu dispositivo. La nube está formada por una red de servidores que se encargan de almacenar, procesar y entregar información según la demanda de los usuarios. Algunos ejemplos de servicios en la nube son el correo electrónico, el streaming de vídeo, el almacenamiento de archivos y el software de oficina123.


¿Pero de donde esta el problema del gestor de contraseña integrado en el navegador de internet?

Por supuesto que usar un gestor de contraseñas integrado en el propio navegador es mucho más cómodo que estar ejecutando una aplicación separada, ¿pero quien protege el acceso a esas contraseñas?

El problema radica en la seguridad de acceso al navegador y el acceso de las extensiones a nuestros datos.

  • Sufren del mismo riesgo de seguridad que cualquier otra extensión del navegador. Si hay algún error o vulnerabilidad en la extensión, podría permitir el acceso no autorizado a tus contraseñas o a tu actividad en línea.


Cualquiera que tenga acceso al ordenador tendrá acceso a las contraseñas guardadas en el navegador, aunque el navegador este protegido encriptando las contraseñas, si nuestro ordenador no esta protegido...cualquiera puede acceder a ellas.

En el caso de Google, el acceso es centralizado por lo que si se ha filtrado mi contraseña en internet...soy vulnerable,


¿Como saber si mi contraseña se ha filtrado en Internet?

Una forma de saber si su contraseña se ha filtrado a Internet es emplear esta web, haveibeenpwned.com, por ejemplo mi cuenta de gmail se ha filtrado en todos estos servicios: 



Muchas aplicaciones, incluido Google o Apple utilizan los servicios de esta web para indicarnos que la cuenta de correo o la contraseña se ha filtrado en algún ataque, también podemos buscar filtraciones del número de móvil.

Las filtraciones son demasiado comunes y nos enteramos muy tarde de ellas, por eso no olvidar activar el segundo factor de contraseña.


En Conclusión

La seguridad de guardar las contraseñas en el navegador depende del nivel de riesgo que estés dispuesto a asumir y del tipo de sitios web que visites. Si quieres una mayor seguridad, te recomiendo usar un gestor de contraseñas de terceros y en lo posible no usar extensiones que simplifiquen el uso del gestor de contraseñas con el navegador, ya que al pasar por las extensiones no estamos seguros de lo que ocurre con nuestros datos.

Recomendaciones mostradas en el blog, en esencia usar gestores de código abierto que serán gratuitos y gestionas tu propia base de contraseñas:



Por cierto, todos los gestores de contraseña de los navegadores permiten exportar las contraseñas guardadas a un fichero .csv que podremos importar con alguna de las aplicaciones. 


Saludos
Pedro.