Aquel 2 de septiembre de 2008 Google se metía de lleno en la batalla de los navegadores. Lo hacía con Google Chrome, un desarrollo que desde el principio asombró por su seguridad y velocidad.
Chrome acaba de cumplir 10 años, y lo ha hecho en un estado de forma excelente. Es el navegador más utilizado en todo el mundo, y para celebrar ese éxito y ese aniversario llega Chrome 69, que cuenta con cambios en el diseño y muchas novedades, como las que afectan a un gestor de contraseñas que gana enteros aunque no pueda compararse con aplicaciones especializadas en este ámbito.
Un nuevo look que se adapta incluso al notch
Esos cambios en la nueva versión del navegador afectan a todas las plataformas: macOS, Windows, Linux, Android e iOS. En todas ellas comprobaremos cómo las pestañas abandonan su aspecto "poligonal" para adoptar unas líneas más redondeadas, más curvas.
Ese cambio de diseño afecta también a la nueva iconografía y a la nueava paleta de colores. En la versión de Chrome para iOS hay un cambio significativo también, porque la barra de direcciones pasa a la parte inferior para que según los responsables "sea más fácil llegar a ella".
La forma en la que aparecen los menús y las URLs en la barra de direcciones también ha cambiado, pero también hay mejoras en la célebre Omnibox, que como sabéis combina barra de direcciones con barra de búsquedas. Ahora esa barra es capaz de mostrar resultados a nuestras preguntas sin tener que mostrarlas en el navegador o en una nueva pestaña.
Otra de las mejoras en ese rediseño visual es el soporte de los 'display cutouts', popularmente conocidos como notches. Esas muescas o pestañas ahora son bien gestionadas por Chome, que ahora es capaz de aprovechar de forma óptima esos diseños físicos. Para ello, eso sí, el desarrollador web debe introducir algunos cambios en las variables de entorno CSS y también en el meta tag viewport-fit, como explican los desarrolladores de Google.
La gestión de contraseñas mejora
Otro de los apartados reforzados en esta versión es la forma en la que el navegador de Google trabaja con nuestras contraseñas. Ahora Chrome es capaz de rellenar mejor esos campos de contraseña, direcciones o números de tarjeta de crédito.
Para hacerlo esa información se almacena en nuestra cuenta de Google —podremos acceder a todos esos datos desde la barra de herramientas de Chrome—, y eso permite evitar que tengamos que escribirlos en los diversos formularios web que visitamos.
Sin embargo el cambio más relevante en esa gestión de la seguridad está en el gestor de contraseñas. En Google destacan lo importante que es utilizar distintas contraseñas para distintos sitios web, así que eso es precisamente lo que proponen con el nuevo gestor integrado en el navegador.
Con ese gestor cada vez que creemos una cuenta en algún sitio o servicio web Chrome nos permitirá generar una contraseña única y "fuerte" para ese sitio web. Chrome se encargará de almacenarlo y de que podamos usarlo a partir de ese momento sin que nos tengamos que preocupar de nada, incluso sincronizándolo entre el escritorio y el móvil para que podamos usarlo en todos los dispositivos en los que usamos Chrome con nuestra cuenta de usuario.
Los gestores de contraseñas especializados siguen siendo más potentes que el de Chrome
Esa nueva característica del gestor de contraseñas de Google seguramente sea bien recibida por los que ya usaban esa herramienta para ir almacenando sus contraseñas y que estas fueran automáticamente utilizadas al entrar en sitios web en los que estamos registrados.
El esfuerzo de Google es una prueba más de lo cruciales que siguen siendo las contraseñas en nuestro día a día, pero aunque esa nueva característica sin duda ayuda a mejorar en este apartado, hace tiempo que *los gestores de contraseñas especializados e independientes** plantean una forma mucho más potente de gestionar nuestra información sensible.
Como explicamos recientemente en Xataka Basics, hay muchas y buenas opciones en este ámbito, y todas ellas ofrecen un plus de seguridad frente a la solución integrada en Chrome.
Gestor de contraseñas independiente vs integrado en el navegador
Usar un gestor de contraseñas integrado en el navegador no parece mala idea hasta que lo es. Ocurrió en agosto de 2016, cuando los responsables de Opera indicaron que habían detectado una intrusión en sus sistemas que afectaba a su sistema Opera Sync.
Este servicio se encarga precisamente de mantener sincronizados datos como las contraseñas guardadas para cada usuario entre los dispositivos en los que utiliza el navegador Opera. Esa intrusión afectó a 1,7 millones de personas, una limitada fracción de la base instalada de usuarios de este desarrollo, pero aún así dejó claro que la seguridad de estos gestores de contraseñas está amenazada por ese tipo de vulnerabilidades externas al usuario.
Google lleva tiempo tratando de fortalecer este tipo de opción, y de hecho como parte de su tecnología Smart Lock creó el sitio web passwords.google.com, en el que podemos gestionar las contraseñas que se gestionan con Chrome. Ese sitio web está protegido con un sistema de verificación en dos pasos, lo que sin duda hace que esa garantía de seguridad aumente.
Las últimas características que apuestan por la creación de contraseñas fuertes ayuda, pero aún así no evita que en sitios que ya tuviéramos gestionados con el gestor de Chrome no paremos de reutilizar contraseñas que a menudo son además débiles.
Esos problemas se minimizan con los gestores de contraseñas independientes. Alternativas como LastPass, 1Password, Dashlane o KeePass se basan también en la gestión y sincronización de contraseñas en la nube, pero el control del usuario sobre esas bases de datos es mayor. No solo eso: las herramientas de creación de contraseñas fuertes son mucho más potentes, y el uso de una contraseña maestra que da acceso a la base de datos permite centralizar esa gestión (algo que ciertamente también conlleva riesgos).
Puede que uses un gestor de contraseñas integrado al navegador, pero puede también que hagas uso de un gestor "manual": contraseñas escritas en una hoja de cálculo, un documento de texto o notas en papel escritas a mano o impresas. Es recomendable pasar a uno independiente para mejorar esa seguridad y minimizar riesgos, pero el proceso es tedioso.
Sobre todo porque tendremos que ir creando contraseñas fuertes para todos los servicios que utilizamos, que tras todos estos años de navegar por unos y otros pueden ser cuantiosos. Aún así a partir de ahí tendremos muchas facilidades: estos sistemas sincronizan esa base de datos para que la tengamos disponible allá donde vayamos, y además cuentan con extensiones y plugins para navegadores que permiten autorrellenar usuario y contraseña allí donde se solicitan esos datos.
La verificación en dos pasos es tu otra gran aliada
Dichas herramientas son cada vez más recomendadas como solución para tratar de evitar (o minimizar) el desastre que puede ser que nos roben nuestras contraseñas en diversos sitios web, algo que ocurre mucho más a menudo de lo que desearíamos. De hecho hace tiempo también que existen métodos de saber si nuestras contraseñas están expuestas, algo que es importante verificar para saber si es urgente cambiar alguna de ellas... o todas.
También podemos seguir estos pasos para crear una contraseña segura —cuidado con usar contraseñas horribles como estas— sin necesidad de usar esos gestores.
La otra recomendación práctica, cada vez más extendida, es la de utilizar sistemas de verificación en dos pasos (2FA, Two-Factor Authentication). Numerosos sitios y servicios web ya lo permiten (Google, Facebook, Twitter, Instagram, Microsoft o WhatsApp están entre ellos), y este tipo de sistemas son especialmente cruciales con información sensible como el que manejamos en servicios financieros.
Es ahí donde entran todo tipo de sistemas 2FA, que inicialmente se centraban en enviarnos un mensaje SMS con un código para confirmar esa autenticación. Hoy en día se ha demostrado que centrar esa opción en los SMS no es tan buena idea, y existen por ejemplo aplicaciones móviles como Authy o Google Authenticator que son mucho más adecuadas. La seguridad biométrica que ofrecen sistemas de huella dactilar y de reconocimiento facial o de iris también comienzan a ser útiles en estos escenarios.
Más interesantes aún para esos sistemas 2FA son los dispositivos de seguridad compatibles con el estandar FIDO. Las Yubikeys están entre las más populares en ese sentido, pero por ejemplo Google se ha lanzado hace poco a este segmento lanzando sus Titan Security Keys. La idea es la de contar con un dispositivo físico único e inequívoco que verifique que, conectado a nuestro portátil por ejemplo, somos quienes decimos ser: ya no solo se necesita la contraseña y eso añade una segunda capa de seguridad aún más difícil de romper por parte de los 'chicos malos'.
En Xataka | Cuando las malas contraseñas del pasado te hacen la vida imposible en el presente
Ver 7 comentarios