Las contraseñas seguras son la base de su seguridad en internet, pero quien pretenda inventar y recordar una clave larga y distinta para cada cuenta, fracasa. Nadie puede memorizar treinta contraseñas complicadas. La respuesta honesta es: no debería memorizarlas. De esa tarea se encarga un programa llamado gestor de contraseñas. Y para las cuentas realmente importantes se añade una segunda protección, la verificación en dos pasos, que frena a un ladrón aunque tenga su contraseña.

Esta guía explica ambas cosas con claridad: por qué las viejas reglas ya no valen, cómo funciona un gestor de contraseñas, cuál recomendamos y dónde debe activar sin falta la verificación en dos pasos.

Por qué «complicada» ya no basta

Cuando hoy un atacante consigue contraseñas, casi nunca es porque haya adivinado la suya. Es porque un servicio en línea donde usted tiene cuenta sufrió una filtración, junto con la de millones de clientes. Esos datos acaban en colecciones que circulan por internet. El atacante prueba entonces su correo y su contraseña, uno tras otro, en los grandes servicios: en Amazon, en su correo, en PayPal. Si usa la misma contraseña en todas partes, está dentro.

La única respuesta eficaz es: una contraseña distinta para cada cuenta. No «mi contraseña de siempre más las dos primeras letras del servicio» —eso lo descifra cualquier programa en segundos—, sino, de verdad, una secuencia propia, larga y aleatoria para cada cuenta.

Eso no hay quien lo recuerde. Y por eso existen los gestores de contraseñas.

Qué hace un gestor de contraseñas

Un gestor de contraseñas es un programa que guarda todas sus claves en una caja fuerte digital. Usted recuerda una sola contraseña —la llamada contraseña maestra— con la que se abre esa caja. De todo lo demás se encarga el programa: cuando se registra en un servicio nuevo, inventa una contraseña larga y aleatoria, la guarda y la rellena sola la próxima vez. Usted no vuelve a verla, ni a teclearla, ni a anotarla.

El efecto es doble. Primero, tiene una contraseña distinta y fuerte para cada cuenta sin recordar ni una sola. Segundo, solo tiene que memorizar una contraseña, la maestra. Esa sí puede ser complicada, porque es la única con la que va a tratar.

Aquí mucha gente tiene un reflejo comprensible: ¿un programa que conoce todas mis contraseñas no es aún más peligroso? La preocupación es lógica. La respuesta es: no, al contrario. Los gestores serios cifran la caja de modo que ni siquiera el fabricante puede leer su contenido. Solo se abre con su contraseña maestra, que únicamente conoce usted. El riesgo que añade es muchísimo menor que el que elimina: usar la misma contraseña en todas partes.

¿Cuál es el adecuado? Nuestra recomendación: Bitwarden

Hay muchos buenos programas, pero uno destaca para la mayoría: Bitwarden. Tres motivos.

Primero, su versión gratuita ya sirve para el día a día: contraseñas ilimitadas, en todos los dispositivos que quiera, con aplicaciones para Windows, Mac, iPhone, Android y los navegadores habituales. Quien quiera más —por ejemplo una función familiar para compartir cuentas con la pareja— paga unos diez euros al año por la versión premium, o unos cuarenta al año para toda una familia. Es bastante más barato que la mayoría de competidores.

Segundo, es de código abierto: expertos independientes pueden revisar el programa y comprobar que cumple lo que promete. Con muchos otros, hay que creer al fabricante sin más.

Tercero, su manejo es sencillo. Sin mosaicos de colores, sin anuncios, sin ventanas constantes. Una vez configurado, funciona discreto en segundo plano, también para personas mayores sin grandes conocimientos.

Quien quiera más comodidad puede mirar Dashlane o 1Password: excelentes, pero más caros y más limitados en su versión básica. Para la mayoría, Bitwarden es la elección correcta. Lo encontrará en la web del fabricante, en bitwarden.com; la versión gratuita basta de sobra para empezar.

Aviso honesto: por Bitwarden no recibimos comisión alguna. Bitwarden no ofrece ese tipo de acuerdo a las webs de recomendaciones. Lo recomendamos igualmente porque es la mejor solución, no porque saquemos algo.

La verificación en dos pasos: el segundo escudo

Hasta la mejor contraseña puede robarse: con un correo idéntico al real, una página falsa, un programa espía. Por eso, para las cuentas realmente importantes existe una segunda protección: la verificación en dos pasos, a menudo abreviada «2FA».

El principio es sencillo. Al iniciar sesión ya no basta la contraseña: se añade un segundo paso, un código de seis cifras válido solo durante treinta segundos y generado en su móvil. Quien tenga la contraseña, pero no su teléfono, no entra.

Para ese segundo paso hay dos vías en el día a día, y no son igual de buenas.

La más habitual es el SMS: da su número y el servicio le envía el código. Es mejor que nada, pero inseguro: los SMS se pueden interceptar y hay delincuentes que logran desviar un número ajeno a otra tarjeta SIM. Si puede elegir, no use SMS.

Mejor es una app de autenticación: un pequeño programa en el móvil que genera los códigos por sí mismo, sin conexión a la red ni a internet. El propio Bitwarden puede generarlos, lo que simplifica aún más: lo tiene todo en una app. Quien no use Bitwarden puede recurrir a apps independientes como Authy o Aegis (para Android), gratuitas y sólidas.

Dónde activarla sin falta

No necesita la verificación en dos pasos en todas partes. En el servicio de streaming sobra. En tres tipos de cuenta, en cambio, es obligada:

Su correo electrónico. Es la llave maestra de todo lo demás: quien accede a su buzón puede pulsar «¿olvidó su contraseña?» en cualquier otro servicio e ir apropiándose de sus cuentas.

Su banca en línea. Suele tener ya un segundo paso. Asegúrese de que está activo y no se ha sustituido por una variante más cómoda pero insegura.

Cuentas con datos de pago. Amazon, PayPal, su Apple ID, su cuenta de Google. Allí donde alguien podría comprar a su costa o mover dinero.

Qué consejos antiguos ya no valen

Quizá oiga todavía dos consejos viejos sobre contraseñas; ninguno vale ya.

El primero: cambiar las contraseñas con frecuencia. Hoy se sabe que quien tiene que cambiarlas a menudo elige claves más débiles, porque debe recordarlas. Los organismos de seguridad de todo el mundo han invertido su recomendación: una contraseña buena y única se mantiene hasta que haya un motivo concreto para cambiarla (por ejemplo, una filtración del proveedor).

El segundo: mezclar símbolos, números y mayúsculas. Hoy la longitud gana a la complejidad. Una contraseña de cuatro palabras al azar —por ejemplo Puerto Lámpara Pera Roca— es más segura y más fácil de recordar que K7$pQ!2x. Con un gestor da igual, porque el programa genera cadenas aleatorias. La regla solo importa para su única contraseña maestra.

Cómo empezar hoy

Si no hace nada más, haga esto: instale Bitwarden, piense una contraseña maestra larga e introduzca primero las tres cuentas más importantes: correo, banco y Amazon o PayPal. Active además para esas tres la verificación en dos pasos, mejor con una app de autenticación que por SMS.

El resto puede ir pasándolo poco a poco, cada vez que tenga que iniciar sesión en algún sitio. En pocas semanas tendrá todas sus cuentas al día, sin recordar ni una de las contraseñas guardadas.

Es el paso menos vistoso, pero el más eficaz hacia una seguridad real. Sin renunciar a nada: solo un programa que se encarga de la tarea que usted nunca pudo cumplir con fiabilidad.

Preguntas frecuentes

¿Sirve un gestor de contraseñas para personas mayores sin experiencia? Sí. Bitwarden es deliberadamente sencillo y le guía paso a paso. Quien lo necesite puede pedir ayuda a un familiar al principio; después funciona solo en segundo plano.

¿Qué pasa si olvido la contraseña maestra? Entonces nadie entra en su caja fuerte, tampoco el fabricante. Es así a propósito, porque solo de ese modo es de verdad segura. Anote la contraseña maestra una vez en papel y guárdela en un sitio fijo y protegido.

¿Cuánto cuesta Bitwarden? La versión gratuita basta para la mayoría. Quien quiera más funciones paga unos diez euros al año (una persona) o unos cuarenta al año (familia de hasta seis).

¿Pueden piratear mi gestor de contraseñas? En teoría, cualquier programa. En la práctica, el riesgo con Bitwarden es bajo, porque la caja está cifrada y el fabricante no puede leer sus claves. El riesgo de no usarlo —la misma contraseña en todas partes— es mucho mayor.

Artículos relacionados: Reconocer el phishing · Hice clic en un enlace peligroso