Mes de la Ciberseguridad: Tips Zerolynx Capítulo 4

¡Muy buenas!

Bienvenidos al cuarto y último video de tips de seguridad de Zerolynx. Hoy, nuestro compañero Luis Vázquez analista senior de ciberseguridad nos trae un único consejo, pero de una gran importancia.


Si nos seguís por redes sociales, nos habréis escuchado decir muchísimas veces que las contraseñas que usamos en nuestro día a día deben ser robustas, usando la mayor cantidad posible de caracteres especiales, mayúsculas, minúsculas y números. Pero claro, ¿quién se puede acordar de contraseñas tan largas? Tradicionalmente hemos usado los post-it para escribir estas contraseñas tan difíciles de recordar, pero hoy en día tenemos claro que esta no es una buena opción. Para evitar el uso de estos soportes, los navegadores actuales traen gestores de contraseñas incorporados que introducen automáticamente las credenciales necesarias cuando accedemos al login de una página web. Y, claro, parece evidente que estos sistemas son más seguros que un post-it, pero… ¿podemos confiar en ellos?

Si accedemos al gestor de contraseñas de un Google Chrome, por ejemplo. podremos comprobar que, si queremos ver las credenciales que usamos para acceder a algún sitio web, tenemos que introducir nuestra contraseña de Windows, evitando que un atacante pueda ver las contraseñas si tuviera acceso a nuestro equipo de alguna forma.

Ahora bien, ¿existe alguna forma de obtener estas credenciales en claro sin conocer la contraseña? Por desgracia, sí, si tienes acceso de Administrador al equipo. Las credenciales del gestor de Chrome se almacenan en una base de datos cifrada con una clave AES llamada “Stage Key”, que a su vez se encuentra cifrada mediante la API de protección de datos de Windows (conocida como DPAPI). Esta API cifra utilizando una clave única por cada usuario del sistema llamada “DPAPI Master Key”, que puede ser obtenida con una herramienta muy conocida en el mundo hacker llamada Mimikatz si tenemos privilegios de Administrador en el equipo. Una vez se obtenga esta clave, podremos descifrar la Stage Key de Chrome y, con ello, la base de datos de credenciales almacenadas.

Los gestores de contraseñas de los navegadores son más fiables que un post-it, pero ni mucho menos son totalmente seguros. Ahora bien, ¿qué podemos considerar seguro? Desde Zerolynx recomendamos el uso de Keepass, una herramienta Open Source que cifra nuestra base de datos de credenciales con una contraseña que sólo nosotros conoceremos. En nuestra mano queda que esta contraseña sea robusta y no quede escrita en ningún sitio.

Y esto es todo. Esperamos sinceramente que estos cuatro vídeos os hayan servido para mejorar vuestra seguridad. No dudéis en seguirnos en redes sociales y seguir aprendiendo con nosotros. ¡Muchas gracias y hasta pronto!