El pasado mes de abril, cuando la cuenta en Twitter de Associated Press fue hackeada y la falsa noticia del atentado contra Obama hizo estremecer el Dow Jones, fueron muchas las voces que comentaron que Twitter debía tener un sistema de verificación en 2 pasos que al final terminó activando. Evidentemente, Twitter debía mejorar su seguridad pero, por supuesto, el usuarios también debe manejar sus contraseñas adecuadamente y evitar que su información de acceso quede expuesta y puedan, por ejemplo, suplantar su identidad. Nuestro navegador suele ser la puerta de acceso a muchos de los servicios que usamos a diario y, por supuesto, también exigimos que cuide especialmente la seguridad de nuestros datos; sin embargo, hoy son varios los medios que han publicado una grave vulnerabilidad en Chrome que expondría nuestras contraseñas al estar éstas accesibles desde el panel de configuración del navegador.

Que no cunda el pánico, no es una vulnerabilidad como tal

¿Por qué uso la palabra "supuesta" y no uso una afirmación? Si bien hoy podemos leer la noticia en muchos medios, la realidad es que hace muchos años (y en YouTube podemos encontrar tutoriales fechados en 2011) que Chrome nos permite acceder al listado de contraseñas que tenemos almacenadas en el navegador sin más que entrar en las opciones avanzadas de configuración y localizar "Administrar contraseñas guardadas".

Si pulsamos sobre esta opción (o bien entramos con la url de atajo chrome://settings/password) se abrirá una ventana en la que se listan todos los servicios cuya contraseña está almacenada junto al nombre de usuario que usamos en dicho servicio y la contraseña, aparentemente, oculta. Si pulsamos sobre cualquiera de las contraseñas guardadas aparece un botón "mostrar" que, tras pulsarlo, nos muestra en claro la contraseña guardada.

Este gesto tan simple es el que está generando el "revuelo del día" y si bien es cierto que es preocupante, es algo que está en Chrome "desde que Chrome existe" y, realmente, es un problema que arrastran muchos navegadores.

Contraseña segura
Simon Lieschke en Flickr

El pánico es exagerado

¿Es esto una vulnerabilidad? ¿Google Chrome presenta un agujero de seguridad? Honestamente, yo creo que no pero entiendo que muchos usuarios, desde su punto de vista, consideren que Chrome adolece de ciertas pautas seguras a la hora de tratar nuestras contraseñas.

Por muy buenas contraseñas que tengamos en servicios como Facebook o Gmail, que todas éstas estén apuntadas en un papel sobre nuestra mesa, en un documento de texto o estén accesibles desde el navegador, lógicamente, invalida el método. Precisamente, esto es lo que pasa cuando almacenamos una contraseña en el navegador; por muy segura que sea, está apuntada en un lugar de nuestro disco duro, un archivo de configuración al que se podría acceder desde el PC ya sea mirando en las opciones del navegador (como es el caso que nos ocupa) o editando archivos de configuración almacenados en el perfil del usuario.

Almacenar contraseñas en el navegador es casi como apuntarlas en un papel que está encima de nuestra mesa

Si perdemos nuestro ordenador portátil o nos lo roban, toda la información contenida en el equipo es vulnerable salvo que tengamos cifrado el disco duro. Hiren's BootCD, un Live CD muy extendido entre técnicos de soporte IT, permite "saltar" la protección por contraseña de un sistema Windows sin mucho esfuerzo y, tras esto, acceder libremente al sistema con el usuario del propietario del equipo y si usa Chrome y guarda en el navegador sus contraseñas tendremos un gran botín y podremos suplantarle en Facebook, Twitter, entrar en sus servicios de banca online o en su correo corporativo.

En el caso que nos ocupa se habla de Google Chrome pero no es el único navegador que presenta un tratamiento similar de las contraseñas. En Firefox también podemos entrar en las opciones de seguridad y ver todas las contraseñas que tenemos guardadas. Por defecto, estas contraseñas están accesibles sin ningún tipo de protección pero, al menos, tenemos la opción de fijar una "contraseña maestra" que sea requerida cada vez que se va a usar una contraseña almacenada o queremos acceder a este listado (algo que también encontramos en Safari en OS X por citar otro ejemplo).

Algo tan cotidiano como llevarse los marcadores y contraseñas guardadas desde un navegador a otro (el paso típico cuando instalamos un navegador) es un proceso tan sencillo y tan "cómodo para el usuario" precisamente porque este tipo de datos se almacenan de esta forma tan laxa.

Contraseña segura (2)
Lulu Hoeller en Flickr

La seguridad es un concepto subjetivo

Creo que no digo nada nuevo al afirmar que la seguridad total no existe y, de hecho, la seguridad es un concepto muy subjetivo. Tanto es así, que muchos expertos definen la seguridad como una especie de "sensación de confort" o "confianza" en el uso de un servicio o un sistema. Dicho de otra forma, consideramos que algo es seguro cuando nos sentimos cómodos en su uso y consideramos que el riesgo de un acceso no autorizado o la pérdida de información es pequeña (aunque no siempre calculemos bien los riesgos).

Esta sensación de confianza en un servicio o en un sistema es una suma de factores: la seguridad de nuestro equipo (cifrado de archivos, uso de biometría en el arranque del sistema, etc), la seguridad de las herramientas que usamos y, por supuesto, la seguridad de los servicios a los que accedemos. De nada nos sirve, como comentaba al inicio, una contraseña muy segura si los otros dos pilares en los que nos apoyamos no son seguros (nuestro equipo o nuestro navegador) y aunque el navegador sea seguro, si alguien tiene acceso físico a nuestro PC casi seguro que podrá sacar datos.

Precisamente, tras armarse todo este revuelo, Justin Schuh (el responsable de seguridad de Chrome) ha abierto un hilo muy interesante en Y Combinator para intentar aclarar esta política de almacenamiento de contraseñas. Una respuesta, en mi opinión, muy honesta que, quizás, el usuario no está acostumbrado a recibir.

Para Schuh, no cifrar las contraseñas en el navegador no es un fallo de seguridad, es una llamada de atención a la necesidad de hacer el acceso a nuestro sistema mucho más seguro. Dicho de otra forma, no solo deberíamos preocuparnos por las contraseñas almacenadas en el navegador sino también por los documentos y archivos que alojamos en nuestro disco duro. Con nuestros archivos personales cifrados y con una contraseña fuerte de acceso a nuestro sistema, estaremos protegiendo también las contraseñas del navegador.

Contraseñas a recordar - Vulnerabilidad de contraseñas en Google Chrome no es tal
Ron Bennetts en Flickr

¿Y qué podemos hacer?

En mi opinión, la comodidad aumenta los riesgos y es algo que todos los usuarios deberíamos asumir y ser conscientes de ello. Sí, es muy cómodo llegar a un servicio y que el nombre de usuario y la contraseña ya estén escritos por ti pero, como podemos ver, ello entraña riesgos y la información está almacenada en "alguna parte" y es susceptible de ser accedida si alguien consigue acceso físico a nuestro ordenador.

La comodidad no es gratuita, aumenta los riesgos

Por tanto, aunque todo esto viene de largo y la supuesta vulnerabilidad no es nueva, más que cundir el pánico lo que tendríamos que hacer es reflexionar sobre la protección que damos a nuestros datos o al acceso a los servicios que usamos a diario. Usar contraseñas seguras es un buen paso, cambiarlas con frecuencia también pero, fundamental, también hay que recordarlas y depender menos de lo que almacena el navegador porque el día menos pensado nos puede pasar factura.

Explorar el cifrado de archivos en nuestro equipo tampoco es mala opción y, por supuesto, también hay buenos gestores de contraseñas que cifran la información y requieren, como en Firefox, una contraseña maestra.

La seguridad es una inversión en la que, la verdad, creo que vale la pena dedicar un poco de esfuerzo.