¿Dónde se almacenan las contraseñas que guardamos en el navegador?

El usuario, por naturaleza, tiende a buscar aplicaciones y servicios que le hagan la vida más cómoda. Nos gusta acceder a nuestro correo o a nuestros perfiles sociales con apenas un clic de ratón y, a ser posible, sin demasiadas trabas o barreras.

Con la idea de simplificar el proceso de login en más de un servicio, los navegadores nos ofrecen la posibilidad de almacenar nuestras contraseñas para que, cada vez que visitemos estos servicios a los que accedemos de manera habitual, se evite tener que escribir nuestro usuario y contraseña y sea el navegador el que realice dicho trabajo por nosotros.

Es cierto que es algo muy cómodo, sin embargo, si nos parece una barbaridad apuntar las contraseñas en una libreta o en un Post-it, ¿almacenar las contraseñas en el navegador no es igual que apuntarlas en un papel? Quizás esta comparativa pueda parecer exagerada pero realmente cuanto más cómodo es el proceso para el usuario, mayores son los riesgos para la seguridad de la información.

Una buena forma de entender que las contraseñas no son una información para almacenar con la configuración por defecto es saber dónde se almacena esta información en el navegador y cómo se puede acceder a la misma.

En Google Chrome

En el navegador de Google el almacenamiento de contraseñas ya generó bastante revuelo en agosto del año pasado. Se habló de una “grave vulnerabilidad” que permitía ver las contraseñas fácilmente y, realmente, no era algo nuevo (simplemente, Google Chrome funcionaba así y muchos usuarios no lo sabían).

Para acceder a las contraseñas almacenadas en Google Chrome, solamente tenemos que escribir en la barra de direcciones chrome://settings/passwords o bien localizar la opción del menú de opciones de configuración llamada “Administrar contraseñas guardadas”. Si entramos ahí, veremos el listado de páginas web con sus respectivos nombres de usuario y contraseñas ofuscadas que hemos ido almacenando en el navegador.

A priori, Google Chrome no nos muestra las contraseñas, pero si hacemos clic sobre alguna de las contraseñas ofuscadas veremos que aparece un botón para mostrar la contraseña. Si pulsamos sobre dicho botón, Google Chrome nos lanzará un mensaje para que escribamos la contraseña de nuestro usuario en el sistema (la que usamos para acceder a nuestro PC, por ejemplo, en Windows).

Esta petición de contraseña, realmente, es algo reciente; viene derivada del revuelo que se generó cuando se habló de lo fácil que era acceder a las contraseñas almacenadas en Chrome. Tampoco es que esta petición de contraseña sea la mejor de las medidas de seguridad, pero puede evitar filtraciones de contraseña si alguien toma nuestro equipo en algún descuido nuestro.

De todas formas, si alguien tiene acceso físico a nuestro PC (en el caso que nos lo sustraigan, por poner un ejemplo) 'reventar' la contraseña del PC pasa por usar recursos como Hiren’s Boot y cambiar la contraseña del PC.

El caso de Firefox

En Firefox las contraseñas almacenadas se localizan dentro del menú de Seguridad, dentro de las Opciones de configuración del navegador. Dentro de dicha sección localizaremos una opción denominada “Contraseñas guardadas” y, si pulsamos sobre la misma veremos también un listado con el trío servicio-usuario-contraseña.

Una de las ventajas que presenta Firefox con respecto a la seguridad de las contraseñas almacenadas es la posibilidad de definir una contraseña maestra con la que cifrar toda la información almacenada y evitar que ésta esté accesible a alguien que se haga con el control de nuestro equipo y tenga acceso físico al mismo.

Por tanto, cifrar la información mediante contraseña maestra es una buena forma de tener comodidad (contraseñas almacenadas) y seguridad (cifrado de información).

Internet Explorer, mejor y peor

En el caso de usar Internet Explorer, el escenario cambia bastante tanto para lo bueno como para lo malo. En el caso de utilizar Windows 7 (o Windows Vista o, incluso, seguir usando Windows XP a pesar de finalizar el soporte de este sistema operativo), también dependeremos de cómo de bien custodiemos nuestro PC. Al fin y al cabo, si alguien tiene acceso físico a nuestro ordenador, nuestros datos pueden ser vulnerables si la información no está cifrada.

Por ejemplo, aplicaciones como IE PassView nos lo demuestran fácilmente. Se trata de una aplicación que es capaz de listar todas las contraseñas almacenadas en Internet Explorer (solamente se requiere acceso al PC e instalarla y, como ya hemos comentado, saltarse la contraseña del PC es posible con alguna que otra utilidad que circula por la Red).

En Windows 8 aún es más sencillo: solamente hay que acceder a "Panel de control" y, una vez ahí, localizar la opción de "Cuentas de usuario" y, dentro de esta opción, pulsar sobre "Administrar credenciales web".

¿Vale la pena almacenar nuestras contraseñas en el navegador? ¿Es una buena práctica? Lo mejor, sin duda, es no tener que recurrir a estas facilidades. Las contraseñas no deberían apuntarse, son algo para memorizar.

De todas formas, si nos decantamos por usar este tipo de funcionalidades está claro que debemos evitar que nuestro PC esté al alcance de terceros y optar por soluciones que aporten seguridad.

La contraseña maestra de Firefox es muy buena opción porque genera un archivo de contraseñas cifrado que solamente se puede usar si se conoce la contraseña de seguridad. Otra herramienta muy útil (que además ofrece extensiones para Google Chrome y también para Firefox) es KeePass, un gestor de contraseñas muy interesante que trabaja también con ficheros cifrados (usando un cifrado muy robusto basado en cifrado AES con un hash SHA-256) y que nos permite gestionar todas nuestras contraseñas de manera sencilla y, por supuesto, segura.

Si confías en la nube y, además, quieres sincronizar la información de contraseñas con varios navegadores y varios dispositivos, LastPass es un nombre a tener presente. Con este servicio podremos mantener nuestras contraseñas almacenadas de manera segura y, además, sincronizadas con múltiples navegadores y dispositivos. Concretamente, el servicio soporta Firefox, Google Chrome, Internet Explorer, Opera y Safari en el entorno de escritorio y también está disponible en iOS, Windows Phone y Android.

La mejor manera de almacenar una contraseña es recordándola nosotros mismos, sin tener que apuntarla en un papel o almacenarla en el navegador. Si no confiamos en nuestra memoria, al menos, busquemos una vía segura para almacenar esta información sensible y, sobre todo, sopesemos cómo almacenan los navegadores la información.