Por qué deberías usar un gestor de contraseñas (y por qué el del navegador no es muy fiable) » Enrique Dans

Esta es una de las preguntas que más me hacen mis estudiantes cuando explico cómo funcionan los gestores de contraseñas y por qué deberían usar uno: «¿Podemos confiar en los que vienen integrados en los navegadores?»

La respuesta, como casi todo en tecnología, no es blanca o negra. Hace unos días encontré un artículo en Wired
titulado «Your browser’s password manager is better than ever. You still shouldn’t use it«, y me pareció una buena excusa para volver sobre un tema que, aunque parezca trivial, sigue siendo uno de los mayores agujeros de seguridad para la mayoría de los usuarios.

Cada vez que un sitio te pide que crees una contraseña, muchos repiten el mismo ritual: combinan palabras, números y símbolos hasta que el sistema les deja pasar… e intentan recordarla. Pero con el tiempo, ese sistema mental termina rompiéndose: demasiadas contraseñas, demasiadas variaciones, demasiadas filtraciones. Lo que muchos hacen después, reutilizar la misma clave con algún cambio menor, es el equivalente digital a dejar la puerta entreabierta.

Para eso precisamente existen los gestores de contraseñas, herramientas diseñadas para almacenar y cifrar credenciales de forma segura. Aun así, una buena parte de los usuarios sigue prefiriendo el sistema de guardado automático del navegador. Y, aunque los gestores integrados en Chrome, Safari o Edge han mejorado sensiblemente su cifrado y sincronización, siguen generando una falsa sensación de seguridad.

El problema en este caso no es el cifrado, que en el caso de Google utiliza el estándar AES y permite incluso cifrado local, sino la arquitectura: todas tus contraseñas pasan a depender de una sola cuenta, de un punto único de fallo. Si un atacante consigue acceder a tu sesión del navegador, obtiene no solo tu correo, sino el acceso completo a tu identidad digital. De acuerdo, el administrador de contraseñas del navegador no tiene fugas… pero sigue siendo más prudente usar uno independiente.

Los gestores dedicados, como 1Password, Bitwarden o el recientemente lanzado Proton Pass ofrecen una capa adicional de separación. Tus contraseñas están cifradas bajo un modelo de «conocimiento cero», lo que significa que ni siquiera la empresa que custodia el servicio puede acceder a ellas. Además, incluyen funciones de seguridad avanzadas como alias de correo, autenticación biométrica o «modo viaje», que reducen el riesgo de exposición.

Frente a eso, los gestores integrados en los navegadores están diseñados con otro objetivo muy diferente: la comodidad, no la seguridad. Lo que más odia un usuario no es un ataque, sino una interrupción, de ahí que muchas funciones más seguras, como exigir autenticación biométrica cada vez que se autocompleta una clave, estén desactivadas por defecto.

Y luego está la memoria humana, sin duda la alternativa más precaria. TechCrunch lo explicaba hace años y sigue siendo válido a día de hoy: confiar en recordar contraseñas complejas no es un acto de disciplina, sino de irresponsabilidad. En un entorno donde los ataques de phishing, las filtraciones masivas y el tráfico de credenciales son constantes, la memoria es siempre el eslabón más débil.

Incluso los gestores más reputados pueden tener incidentes, como demostró el caso de LastPass
en 2023, cuando un robo de información obligó a millones de usuarios a cambiar sus claves. Pero incluso ese episodio no invalida el modelo: era el gestor de contraseñas que usaba yo, pero los datos estaban cifrados, el acceso fue limitado, y no generó prácticamente ningún problema. La alternativa, guardar contraseñas en el navegador, o peor, en la cabezs, sigue siendo muchísimo más arriesgada.

En cualquier caso, usar cualquier gestor sigue siendo mejor que no usar ninguno. Y si por costumbre, por comodidad o por economía prefieres el que viene incluido con el navegador, úsalo, pero sabiendo que es un compromiso. Los gestores integrados son convenientes y gratuitos, pero vulnerables a la sincronización, a los ataques de sesión o a la dependencia de una sola cuenta.

La comodidad, en materia de seguridad, siempre tiene un precio. Los gestores de contraseñas del navegador son útiles para quien no usa nada, pero no sustituyen una buena solución dedicada. La clave no es memorizar contraseñas imposibles, sino usar un gestor que las genere y recuerde por ti, y dejar de guardarlas en el navegador, que no es suficiente. Porque la seguridad no está en la herramienta, sino en el desarrollo del hábito.

Tu vida digital no debería depender de un sistema pensado simplemente para tu comodidad, únicamente para ahorrar clics. Los gestores integrados en los navegadores son como un paraguas de papel en medio de una tormenta: te puede permitir salir del paso y mojarte algo menos, pero si puedes planificar y ser ordenado, no confíes tu futuro o tu seguridad a algo así, porque en el mundo actual, la pregunta no es si te van a hackear, sino cuándo lo harán y si perderás algo más que comodidad cuando lo hagan. Y eso es, básicamente, lo que vengo a contar a mis alumnos cuando hablamos de estas cosas en clase.