Llegamos a ustedes gracias a:



Reportajes y análisis

¿Puede confiar en su navegador?

[24/08/2012] Hacer que su navegador web recuerde sus claves y/o detalles de tarjeta de crédito puede ser conveniente, pero plantea algunos riesgos de seguridad. ¿Cuánto del riesgo depende del navegador que esté usando, si lo sincroniza con otros dispositivos, y si está utilizando alguna de las características adicionales de seguridad que trae su navegador web? Estas son las principales vulnerabilidades en algunos de los navegadores más populares, Internet Explorer, Google Chrome, y Mozilla Firefox, y cómo protegerse contra sus puntos débiles.
Riesgos de seguridad comunes
El mayor problema con que su navegador guarde sus contraseñas implica a las miradas indiscretas. No solo pueden verla los otros usuarios que tengan acceso a sus contraseñas y detalles de sus números de cuenta, sino también alguien que se robe su computadora, teléfono inteligente o tablet. Y el mismo riesgo se aplica si no ha borrado adecuadamente los datos de su PC cuando se deshace de ella; quien sea que termine con ella podría recuperar la información. Además, algunos virus y malware pueden robar sus contraseñas guardadas o los detalles de sus tarjetas de crédito.
Como se habrá dado cuenta, los sitios bancarios y muchos otros que tienen que ver con información altamente sensible, no dejan que su navegador guarde su contraseña. Sin embargo, si utiliza la misma contraseña o una similar en sitios menos seguros, otra persona puede ser capaz de adivinar fácilmente la contraseña del banco, por ejemplo.
Algunos navegadores le permiten (o, potencialmente, los ladrones) ver una lista de sus credenciales de acceso guardadas, incluyendo el sitio, nombre de usuario y contraseña. Y para aquellos que no lo hacen, utilidades como WebBrowserPassView puede hacer una lista de ellas con suma facilidad. Esto es útil si se olvida una contraseña o desea evaluar todas sus contraseñas, pero es problemático si un intruso utiliza este software en su computadora. Otra manera que usted (o ladrones) puedan recuperar las contraseñas guardadas es mediante el uso de una utilidad como BulletsPassView, que permite revelar la contraseña detrás de un campo de contraseña enmascarada en una página web o ventana.
En las siguientes secciones, echaremos un vistazo a los tres navegadores más populares, Internet Explorer 9, Chrome y Firefox, para evaluar sus características de ahorro de credenciales, y discutir algunos consejos para protegerlos mejor.
Internet Explorer 9
Internet Explorer 9 ofrece la funcionalidad de almacenamiento de contraseña más básica de los tres navegadores que estamos cubriendo. Su característica Autocompletar también puede recordar su nombre, dirección y otros datos que se escriben en los formularios web o los campos de búsqueda. No proporciona una manera para que pueda ver las contraseñas guardadas en la configuración del navegador: solo se le permite cambiar los ajustes principales y borrar todo el historial de Autocompletar.
No ser capaz de ver una lista de las contraseñas puede ayudar a impedir la obtención casual de las mismas. Y a pesar de que todavía se puede acceder a los sitios en los que el navegador guardó las credenciales, no puede ver la propia contraseña por defecto. Como se mencionó antes, sin embargo, un hacker determinado puede utilizar una utilidad para ver una lista de todas sus contraseñas guardadas, o dar a conocer a los personajes reales detrás del campo contraseña en una página de acceso.
Por desgracia, Internet Explorer 9 no ofrece una función de sincronización nativa para mantener su configuración y los datos guardados sincronizados a través de varios equipos o dispositivos, pero, desde el punto de vista de la seguridad, es un riesgo menos por el que tiene que preocuparse.
Internet Explorer 10 en Windows 8 ofrecerá nuevas características de guardado de contraseñas y sincronización, pero aún no está claro si estarán disponibles cuando se utiliza Windows 7. Cuando probé las vistas previas de la versión de Internet Explorer 10 y Windows 8, me encontré con que puede ver y administrar las contraseñas guardadas en el explorador mediante el Administrador de contraseñas mejorado en el Panel de control. Y por seguridad, para poder ver las contraseñas guardadas reales deberá volver a introducir su contraseña de la cuenta de Windows, lo cual puede ayudar a impedir su obtención casual por otros.
Windows 8 también ofrecerá una nueva función de sincronización que permite uniformizar las contraseñas para las aplicaciones, sitios web, y redes, adicionalmente a la configuración y preferencias de Windows entre sus otras computadoras y tablets Windows 8. Por razones de seguridad, antes de sincronizar las contraseñas con una nueva computadora o tablet, debe iniciar sesión en un sitio de Microsoft y aprobar el nuevo dispositivo. Y si ha especificado un número de móvil en su cuenta de Microsoft de antemano, obtendrá un código de confirmación a través de un mensaje de texto enviado a su teléfono móvil, el cual debe introducir en el sitio de Microsoft antes de que se le conceda la confianza y se sincronicen las contraseñas.
Google Chrome 21
Google Chrome ofrece una característica de almacenamiento de contraseñas más rica que Internet Explorer, así como una función de relleno automático, que también puede realizar un seguimiento de los datos de su tarjeta de crédito. Sin embargo, aunque estas pueden ser grandes características que ahorran tiempo, también plantean más riesgos de seguridad.
Chrome permite que usted, o un ladrón, exploren la lista de nombres de usuario y contraseñas guardadas (en orden alfabético por el nombre del sitio), o que introduzca el nombre del sitio en el campo de búsqueda para filtrar la lista.
Para mayor privacidad, Chrome enmascara cada contraseña guardada con asteriscos, pero puede hacer clic en la entrada y pulsar el botón Mostrar para revelar la contraseña real. También puede cambiar la contraseña, pero desafortunadamente Chrome no percibe los cambios de contraseña, por lo que no le avisará cuando inicie sesión en un sitio con una nueva contraseña. Debe ir a donde está la contraseña guardada y actualizarla de forma manual.
Puede ver una lista de todas las direcciones guardadas y detalles de tarjetas de crédito, incluyendo el nombre de la tarjeta, el número de cuenta y la fecha de caducidad. Chrome parcialmente oculta sus números de tarjetas de crédito con asteriscos, pero puede hacer clic a la entrada y luego clic en Editar para mostrar el número completo. El único detalle de la tarjeta que no se guarda es su código de seguridad, que a menudo, pero no siempre, es requerido para hacer compras.
Desafortunadamente, Chrome no ofrece una función maestra de contraseña como Firefox con el fin de proteger todas sus contraseñas y detalles de tarjetas de crédito. Por lo tanto, cualquier persona que ha iniciado sesión en su cuenta de Windows, puede ver todas las contraseñas guardadas y los detalles de sus tarjetas de crédito.
Chrome ofrece una función de sincronización para mantener la mayoría de las configuraciones y datos guardados (incluidas las contraseñas, pero no los detalles de tarjetas de crédito) sincronizados en varios equipos y dispositivos, pero esto crea otro problema de seguridad. De forma predeterminada, Chrome solo requiere que introduzca su contraseña de la cuenta de Google para crear un nuevo equipo o dispositivo en el que sincronizará sus datos de navegación. Esta es una gran ventaja, pero si su contraseña de la cuenta Google es hackeada, el intruso puede potencialmente tener acceso a una lista de todas sus contraseñas, a menos que establezca una contraseña de sincronización.
Para mantener sus contraseñas guardadas durante la sincronización, Chrome las encripta cuando viajan desde sus computadoras o dispositivos a los servidores de Google (y viceversa). También puede configurar el navegador para que cifre todos los otros datos sincronizados.
De forma predeterminada, Chrome utiliza la contraseña de su cuenta de Google para cifrar y descifrar los datos sincronizados, pero puede ingresar otra contraseña si desea agregarle una capa adicional de protección a sus datos sincronizados. Al configurar Chrome para que se sincronice en un nuevo equipo o dispositivo, tendrá que iniciar sesión con su contraseña de la cuenta de Google y luego también introducir su contraseña de cifrado.
Firefox 14
Firefox ofrece características avanzadas de almacenamiento de contraseña que son incluso mejores que las de Chrome. Sin embargo, mientras que Firefox no guarda los detalles de la tarjeta de crédito de forma nativa, por lo menos esa es una cuestión de seguridad menos por la que preocuparse. Al igual que con Chrome, puede navegar, buscar y eliminar las contraseñas guardadas a través de la configuración de Firefox.
Aunque no puede cambiar las contraseñas en la configuración, Firefox detecta automáticamente los cambios de contraseña que ha hecho en otros lugares y le pregunta si desea actualizar la contraseña al iniciar sesión en un sitio web con una contraseña diferente a la que está guardada en su PC.
A diferencia de Chrome, Firefox le permite establecer una contraseña maestra para cifrar y proteger con contraseña, valga la redundancia, a la lista de contraseñas guardadas.
Debe introducir la contraseña maestra la primera vez que utiliza una contraseña guardada, una vez por sesión de navegador. Además, a pesar de que ingresa la contraseña maestra la primera vez, siempre hay que ingresarla antes de poder ver las contraseñas guardadas a través de la lista en la configuración de Firefox. Esta es una gran característica para ayudarle a impedir que se obtengan sus contraseñas de forma casual, e incluso previene que la mayoría de utilidades de terceros las recuperen.
Firefox también puede sincronizar sus contraseñas, configuraciones y otros datos guardados entre múltiples computadoras y dispositivos.
Esto es similar a lo que ofrece Chrome, pero por defecto, Firefox encripta todos los datos sincronizados en lugar de solo las contraseñas guardadas. Además, hay más seguridad cuando agrega una nueva computadora o dispositivo a su cuenta de Firefox Sync. También puede introducir un código de acceso desde el nuevo dispositivo que ya ha creado, o tomar la clave de recuperación desde un dispositivo que acaba de configurar, e introducirla en el nuevo dispositivo después de acceder a su cuenta de Firefox Sync.
Resumen
Internet Explorer 9 ayuda a prevenir a los fisgones. No hay listas de contraseñas guardadas en la configuración, pero no ofrece características avanzadas de seguridad para evitar que alguien utilice utilidades de terceros en su cuenta de Windows con la intención de recuperar sus contraseñas.
Google Chrome 21 permite que cualquier usuario de su cuenta de Windows vea su lista de contraseñas guardadas y detalles de tarjetas de crédito, así que tenga cuidado. Y si sincroniza sus datos de navegación a través de múltiples computadoras y dispositivos, considere la posibilidad de cifrar todos los datos y establecer una frase de contraseña para tener doble protección.
Firefox 14 también permite, por defecto, que cualquier usuario de la cuenta de Windows pueda ver su lista de contraseñas guardadas, pero puede crear una contraseña maestra para cifrar y protegerlas. Y si utiliza la función de sincronización del navegador, Firefox ofrece una gran seguridad.
De los tres navegadores que revisamos, elegiría Firefox por su mejor seguridad de contraseñas gracias a su característica de contraseña maestra, pero también estoy ansioso por ver la versión final de Internet Explorer 10 para Windows 7 y 8.
Le dejaré algunos consejos adicionales para ayudarle a aumentar la seguridad de sus contraseñas:
* Nunca guarde las contraseñas o datos de sincronización del navegador en las computadoras de otras personas.
* Trate de usar diferentes contraseñas para cada sitio, al menos para la banca y otras cuentas sensibles.
* Proteja su cuenta de Windows con contraseña.
* Cree diferentes cuentas de Windows para cada usuario, o por lo menos para los que no gozan de su plena confianza.
* Para la familia ampliada o de amigos, utilice la cuenta de Invitado de Windows.
* Utilice un buen programa antivirus y manténgalo actualizado.
* Piense acerca de encriptar completamente laptops, netbooks y dispositivos móviles.
* Tenga en cuenta servicios de administración de contraseñas de terceros como LastPass https://lastpass.com/, o KeePass http://keepass.info/.
Eric Geier, PC World
Eric Geier es un redactor independiente en tecnología. También es fundador de NoWiresSecurity que proporciona un servicio de seguridad Wi-Fi basado en la nube para las empresas, y On Spot Techs, que ofrece servicios de computación en las instalaciones.