パスワード監査ツールの使い方 - 漏洩チェックから強度診断まで

Lectura de 15 min aprox.

¿Han sido expuestas tus contraseñas en filtraciones de datos anteriores? ¿Son suficientemente fuertes las contraseñas que usas actualmente? Las herramientas de auditoría de contraseñas responden estas preguntas. Evalúan la seguridad de las cuentas desde múltiples ángulos: verificación contra bases de datos de filtraciones, diagnóstico automático de fortaleza y detección de contraseñas reutilizadas. Este artículo ofrece orientación práctica sobre servicios gratuitos de verificación de filtraciones como Have I Been Pwned, funciones de auditoría integradas en navegadores e informes de auditoría de gestores de contraseñas.

Verificar filtraciones con Have I Been Pwned

Cómo funciona el servicio y su seguridad

Have I Been Pwned (HIBP) es un servicio gratuito de verificación de filtraciones operado por el investigador de seguridad Troy Hunt. Con solo ingresar una dirección de correo electrónico, revela instantáneamente si ha aparecido en filtraciones de datos anteriores. A partir de 2024, más de 14 mil millones de registros de cuentas comprometidas están registrados en la base de datos, convirtiéndola en la más grande y confiable del mundo.

La función de verificación de contraseñas de HIBP utiliza un modelo de k-Anonimato. Solo los primeros 5 caracteres del hash SHA-1 de la contraseña se envían al servidor, que devuelve todos los prefijos de hash coincidentes. El cliente verifica la coincidencia exacta localmente, lo que significa que la contraseña nunca viaja por la red. Este diseño garantiza que el proceso de verificación no cree nuevos riesgos de seguridad.

Cómo usarlo

Primero, visita haveibeenpwned.com e ingresa tu dirección de correo en el cuadro de búsqueda principal. Un resultado verde significa que no se encontraron filtraciones. Un resultado rojo muestra detalles de qué servicios fueron comprometidos y cuándo. Cambia tu contraseña inmediatamente en los servicios afectados. La pestaña "Passwords" permite verificar directamente si una contraseña que usas aparece en datos de filtraciones anteriores. Si se muestra un conteo de filtraciones, esa contraseña existe en diccionarios de atacantes y debe cambiarse de inmediato.

Funciones de auditoría de contraseñas integradas en navegadores

Verificación de contraseñas de Chrome

Google Chrome incluye una función integrada de "Verificación de contraseñas". Navega a chrome://settings/passwords y haz clic en "Verificar contraseñas" para ejecutar un diagnóstico masivo de todas las contraseñas guardadas. Los resultados se clasifican en tres categorías: "Contraseñas comprometidas" que aparecieron en filtraciones anteriores, "Contraseñas débiles" que son cortas y fáciles de adivinar, y "Contraseñas reutilizadas" donde la misma contraseña se usa en múltiples sitios.

La Verificación de contraseñas de Chrome funciona mejor cuando está sincronizada con una cuenta de Google. Con la sincronización habilitada, las contraseñas guardadas en dispositivos móviles también se incluyen en la verificación masiva. Sin embargo, el almacenamiento de contraseñas de Chrome carece de protección con contraseña maestra, lo que significa que todas las contraseñas son visibles si se elude la pantalla de bloqueo del dispositivo. Para cuentas importantes, considera usar un gestor de contraseñas dedicado.

Funciones de auditoría de Safari y Firefox

En Safari de Apple, puedes verificar las "Recomendaciones de seguridad" desde Ajustes > Contraseñas. Las contraseñas comprometidas, reutilizadas y débiles se muestran en lista, con enlaces directos a páginas de cambio de contraseña. Al integrarse con el Llavero de iCloud, cubre todas las contraseñas sincronizadas entre iPhone, iPad y Mac. Firefox ofrece de manera similar verificación de filtraciones para contraseñas guardadas en la página "about:logins", y la integración con Firefox Monitor permite recibir notificaciones de filtraciones.

Informes de auditoría de gestores de contraseñas

Comparación de funciones de auditoría entre servicios principales

"Watchtower" de 1Password, "Vault Health Reports" de Bitwarden y "Password Health" de Dashlane - todos los gestores de contraseñas principales incluyen funciones de informes de auditoría. Realizan automáticamente verificaciones de filtraciones, evaluaciones de fortaleza, detección de duplicados y detección de brechas en autenticación de dos factores en todas las contraseñas almacenadas. La diferencia clave con las funciones de auditoría del navegador es que los gestores de contraseñas administran centralmente las credenciales en todos los dispositivos y navegadores. Cuando las contraseñas se almacenan por separado en Chrome y Safari, una auditoría del gestor de contraseñas es la forma más eficiente de ver el panorama completo.

Los resultados del informe de auditoría a menudo se cuantifican como una "puntuación de seguridad" sobre 100, dándote una imagen clara de tu estado actual. Si tu puntuación es baja, prioriza cambiar las contraseñas comprometidas primero, luego elimina las reutilizadas y finalmente fortalece las débiles. Usar herramientas de generación de contraseñas como Passtsuku.com te permite crear eficientemente contraseñas únicas y fuertes para cada servicio.

Cómo leer informes de auditoría y tomar acción

Una contraseña marcada como "comprometida" en un informe de auditoría significa que existe en listas usadas por atacantes para ataques de credential stuffing. Seguir usándola crea un riesgo extremadamente alto de acceso no autorizado a otros servicios. Las contraseñas juzgadas como "débiles" - menos de 8 caracteres, solo números o palabras del diccionario - pueden ser descifradas rápidamente mediante fuerza bruta o ataques de diccionario. En cualquier caso, cambiar a una cadena aleatoria de más de 16 caracteres y habilitar la autenticación de dos factores mejora significativamente la seguridad.

Crear el hábito de verificaciones de seguridad regulares

Frecuencia y programación de verificaciones

La auditoría de contraseñas no es una actividad única - produce resultados mediante la repetición regular. La frecuencia recomendada es una verificación rápida mensual (revisar la puntuación del gestor de contraseñas) y una verificación detallada cada 3 meses (verificar todas las direcciones de correo en HIBP + ejecutar auditorías del navegador). Cuando las filtraciones de datos importantes son noticia, realiza una verificación ad-hoc en HIBP. Configurar recordatorios en el calendario facilita convertirlo en hábito.

Cuando se encuentran problemas durante las verificaciones, actúa rápidamente. Cambia las contraseñas de cuentas confirmadas como comprometidas dentro de 24 horas y habilita la autenticación multifactor donde sea posible. Al cambiar contraseñas, usa consistentemente Passtsuku.com para generar contraseñas aleatorias suficientemente largas y guárdalas en tu gestor de contraseñas. Cambiar a una contraseña memorizable manualmente probablemente será marcada como "débil" en la próxima auditoría.

Uso de servicios de notificación

HIBP te permite registrar direcciones de correo para recibir notificaciones automáticas cuando se confirman nuevas filtraciones. Habilitar las "Notificaciones de seguridad" en tu cuenta de Google también envía alertas por intentos de inicio de sesión sospechosos o detecciones de filtraciones. El Watchtower de 1Password actualiza su panel cada vez que se agrega nueva información de filtraciones a la base de datos, así que simplemente abrir la aplicación regularmente te mantiene informado. Combinar estos servicios de notificación cubre tanto la verificación activa como el monitoreo pasivo, maximizando tu velocidad de respuesta ante filtraciones.

Para una comprensión más profunda de las herramientas de seguridad de contraseñas, las guías de llaves de seguridad (Amazon) ofrecen cobertura completa de autenticación basada en hardware.