Cabecera-v2-web.jpg

Almacenar credenciales de acceso en navegadores web ¿Es seguro?


Cuando ingresamos a un sitio web que requiere el ingreso de credenciales de acceso y cargamos los datos (usuario y contraseña) por primera vez, los navegadores generalmente nos consultan si deseamos guardar esta clave para no tener que cargarlas nuevamente cuando las necesitemos. Esto lo realizan a través de un administrador de contraseñas integrado a los mismos, para facilitar y agilizar el proceso de inicio de sesión.

Generalmente funciona de forma predeterminada, en la mayoría de los navegadores, que ofrecen esta funcionalidad y solo necesita el consentimiento del usuario para realizar el almacenamiento de las credenciales.

Además, debido a que cuenta con sincronización automática las contraseñas almacenadas pueden ser accedidas desde cualquier dispositivo con el navegador instalado y con la cuenta de correo sincronizada. Haciéndolo un mecanismo bastante útil, para agilizar el inicio de sesión en diversos sitios web, pero...

¿Es realmente seguro?

A pesar de ser bastante útil y fácil de utilizar, también cuenta con puntos negativos, los cuales deben tenerse en cuenta a fin de evitar problemas futuros y mantener las credenciales seguras.

En Google Chrome, al momento de ofrecer el guardado de las credenciales de acceso del sistema al que estamos ingresando desde el navegador, no solicita ninguna clave de protección para su administrador de contraseñas.

La seguridad recae en la credencial de acceso del dispositivo del cual estamos accediendo, si cuenta con alguna; caso contrario, cualquier persona con acceso al dispositivo (como por ejemplo: un compañero de trabajo malintencionado, un familiar, amigo incluso un ladrón que haya robado el dispositivo) podría ingresar a los sistemas cuyas credenciales de acceso hayan sido almacenadas en el navegador.

Estas credenciales son almacenadas generalmente en un archivo de texto dentro del dispositivo, algunas con algún tipo de cifrado y otras sin cifrado.

En el caso de Google Chrome, se almacena en una base de datos SQLite3 ubicada generalmente en la dirección: %LocalAppData%\Google\Chrome\User Data\Default\Login Data, es utilizada sólo por Chrome y no son almacenadas en texto plano, sino que son encriptadas por funciones de cifrados (Crypt32.dll) proveídas por el propio sistema operativo en los sistemas Windows. Estos datos solo pueden ser descifrados en la computadora donde se cifró, es decir, no utiliza una contraseña maestra definida por el usuario sino que las credenciales pueden ser visualizadas ingresando simplemente la contraseña del usuario del sistema operativo. Por lo tanto, un ciberdelincuente con intenciones robar las credenciales debería de iniciar sesión en el equipo con el mismo usuario para poder finalmente tener acceso.

A diferencia de Chrome, en Firefox las contraseñas almacenadas se encuentran en el dispositivo, sin embargo ofrece la opción de utilizar o no una contraseña maestra para el administrador de contraseñas. Utilizar la contraseña maestra añade más seguridad, ante posibles intentos de robo por parte de atacantes. Sin embargo, al no utilizar contraseña para el administrador de contraseñas, todas las credenciales almacenadas, pueden ser accesibles para cualquier persona que tenga acceso al dispositivo.

En Safari, se utilizan las preferencias de Autorrelleno para guardar información sobre contactos, nombres de usuarios y contraseñas. Así como también, tarjetas de crédito y otros formularios web. Permitiendo utilizar como un mecanismo de seguridad adicional el Touch ID (lector de huellas dactilares) en los dispositivos Mac y iPhone, dificultando el acceso de cualquier persona. En caso de no tener activa dicha funcionalidad, es necesario proveer las credenciales de la cuenta Apple ID.


En conclusión, el administrador de contraseñas en navegadores web a pesar de su gran utilidad, puede a su vez ser un punto vulnerable a explotar por parte de ciberdelincuentes o cualquier persona malintencionada para obtener datos confidenciales y/o realizar posteriores ataques.

Recomendaciones:

  • Evite guardar credenciales de acceso en los navegadores web.
  • En caso de requerir borrar las contraseñas almacenadas anteriormente:
    • en Google Chrome, siga estos pasos:
      • Diríjase al menú de (los tres puntos ubicados arriba a la derecha),
      • Clic en Configuracion > Configuracion Avanzada,
      • Clic en Eliminar datos de Navegación,
      • Dentro de este apartado, dirigirse a Configuración Avanzada,
      • Marque la opción Contraseñas y otros datos de acceso,
      • Clic en Aceptar.
    • en Mozilla Firefox, siga estos pasos:
      • Diríjase al menú (las tres rayas horizontales ubicadas arriba a la derecha),
      • Clic en Inicios de sesión y contraseñas,
      • Seleccione las credenciales y haga clic en Eliminar.
    • en Safari, siga estos pasos:
      • Dirijase al menu (ubicado en la esquina superior derecha),
      • Clic en Preferencias > Autorrelleno,
      • Desmarque la opción Nombres de usuario y contraseñas,
      • Clic en Edición,
      • Seleccione Eliminar todo,
      • Clic en Salir.
  • Active la autenticación en dos pasos en la cuenta Google, siguiendo los pasos explicados en el siguiente enlace.
  • En caso de utilizar el administrador de contraseñas de navegadores, defina una contraseña segura para el inicio de sesión en los dispositivos desde donde accedo a los navegadores afectados, siguiendo estos consejos:
    • No utilice contraseñas con información personal, palabras que se pueden encontrar en cualquier diccionario, a las que se pueda acceder o adivinar fácilmente,
    • Cree una contraseña de mínimo 12 caracteres, que contenga mayúsculas, minúsculas, números y caracteres especiales,
    • Utilice diferentes contraseñas en sus sistemas y cuentas,
    • Verifique si la cuenta de correo utilizada ha sido víctima de alguna filtración de datos en el pasado, desde la página Have I Been Pwned?.
    • En caso de ser víctima de alguna filtración, se recomienda cambiar la contraseña y cerrar sesión en todos los dispositivos desconocidos vinculados con la cuenta de correo.
  • Utilice Gestores de contraseñas, y configure una contraseña maestra robusta y segura.
  • Algunas páginas web permiten mantenerte conectado haciendo clic en la casilla de verificación del sitio. Esto es una característica del sitio web y funcionará independientemente de que hayas guardado tu nombre de usuario y contraseña en navegadores.


Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11