Herramientas

Bitwarden — El Mejor Gestor de Contraseñas

Bitwarden

Seguro te estarás preguntando ¿que es un gestor de contraseñas y para que sirve, porque necesitas uno? ¿Como me ayuda Bitwarden?

Si eres es el tipo de persona que usa la misma contraseña “segura” en cada inicio de sesión, en cada servicio que utilizas, lo mas probable es que 1)tu contraseña no sea lo suficientemente segura como para estar tranquilo 2) Es posible que la compañía o el servicio donde te has registrado haya tenido una fuga de datos en algún momento y entre ellos se encuentre tu contraseña.

Tabla de contenido

  1. ¿Texto plano o cifrado?
  2. Sobre Bitwarden
  3. Código abierto
  4. Auditoria de seguridad
  5. ¿Como empezamos?
  6. Dont Trust Verify – como no confiar en la nube
  7. Importación de otro servicio gestor de contraseñas
  8. Auto completar datos
  9. Autenticación de dos factores
  10. Integración en los navegadores
  11. Aplicación para móvil
  12. Alojar el servidor Bitwarden de manera local – Raspberry Pi

¿Texto plano?

Existen sitios que almacenan tu contraseña en TEXTO PLANO, es decir, sin cifrar, imaginas usar la misma contraseña para todo y que en algún momento ese sitio web se vea comprometido? que pasaría con TODAS tus otras sesiones? Exacto, estarías frito.

Los gestores de contraseñas hacen la tarea sencilla y fácil. Los gestores de contraseña guardan tu contraseña de manera segura pero ademas te ayuda a crear contraseñas realmente fuertes y totalmente aleatorias para cada inicio de sesión que tengas, con lo cual, puedes estar tranquilo que si en un sitio web existe una filtración de datos no afectará a tus otras cuentas.

Existen muchísimos gestores de contraseñas, entre los mas populares como LastPass, 1Password, Dashlane, entre otros.

No podemos fiarnos de un gestor de contraseñas que no es de código abierto y que ademas de esto ha tenido vulnerabilidades a lo largo de su trayecto, meterías la contraseña de tus datos en una caja negra? que no sabes como funciona y si existen o no puertas traseras? pues al parecer muchos si lo hacen ya que los gestores anteriormente mencionados son los mas populares y mas usados.

LastPass es de código cerrado al igual que 1Password y en algún momento de la historia fue hackeado, ver aquí el LINK 1Password recientemente cambio los servidores donde almacena TODOS los datos de sus usuarios a un servidor de tercero, con lo cual crea mayor desconfianza.

Ahora hablemos sobre Bitwarden.

Bitwarden es un administrador de contraseñas muy fácil de usar pero funcional que tiene compatibilidad para todas las plataformas (Windows, Linux, Mac, Android incluso IOS). Puede competir fácilmente en oportunidades con gigantes como LastPass y 1Password.

Pero a diferencia de ellos, es de código abierto y no pide dinero. Bitwarden también utiliza un cifrado seguro de extremo a extremo, por lo que nadie, excepto tu, tendrá acceso a las contraseñas.

Código Abierto

Bitwarden es un administrador de contraseñas, 100% de código abierto. El código fuente de Bitwarden está alojado en GitHub y todos son libres de revisar, auditar y contribuir a la base de código de Bitwarden. Puedes acceder mediante el siguiente LINK.

Ser de código abierto es una de las características más importantes de Bitwarden. La transparencia del código fuente es un requisito absoluto para soluciones de seguridad, algo que no encontraras en LastPass o 1Password por ejemplo.

Auditoria de Seguridad

Bitwarden no solo es de código abierto, sino que también ha pasado auditorias de seguridad, lo que aumenta la confianza y seguridad de que el código básicamente esta bien escrito y no existen vulnerabilidades. Ten en cuenta que estas auditorias son a nivel código, existen otras auditorias que analizan el funcionamiento de bitwarden desde el punto de vista del “error humano” actualmente Bitwarden no ha realizado este tipo de auditorias, pero en su blog se ha comentado algo.

Los encargados de realizar la auditoría ha sido la firma especializada Cure53 y el resultado de sus pesquisas contemplaron numerosas recomendaciones que en Bitwarden ha solucionado. Esta misma empresa también fue la encargada de realizar numerosas auditorias de seguridad a diferentes proyectos, entre los que se encuentra Cryptomator, el cual es una herramienta para cifrar tus datos y archivos. Puedes echarle un ojo AQUÍ.

La auditoría básicamente ha consistido en un análisis criptográfico de las tecnologías e implementaciones utilizadas y un test de penetración de caja blanca (metodología en la que el atacante conoce perfectamente el sistema) del código fuente de Bitwarden, incluyendo aplicaciones, bibliotecas, software de servidor, API bases de datos, etc. El informe completo se puede consultar en este enlace (PDF).

¿Como empezamos?

Pantalla de Inicio de Bitwarden
Pantalla de Inicio de Bitwarden

Bitwarden no limita la cantidad de inicios de sesión y contraseñas que puede almacenar en él, y sus versiones en todas las plataformas son gratuitas.

Sin embargo, también se proporciona una suscripción premium. Cuesta $ 10 al año y proporciona 1 gigabyte de almacenamiento de archivos (útil si decide usar Bitwarden para notas), autenticación avanzada de dos factores y soporte técnico prioritario. Para el usuario promedio, el modo premium del programa será de poca utilidad. Si deseas el premium 10$ es menos del valor que te costaría 1 café mensual.

Obviamente Bitwarden almacena tus datos en sus servidores, totalmente cifrado, la única manera de tener acceso a estos datos es con la contraseña maestra que utilizamos al crear una cuenta en la plataforma.

Dont Trust Verify

Si no confías tus contraseñas a ningún servicio externo (en los servidores de Bitwarden), nada te impide almacenarlas en casa. Para hacer esto, necesitarás tu propio servidor doméstico (por ejemplo, basado en Raspberry Pi). Simplemente instala la versión del servidor de Bitwarden en él y podrás almacenar tus contraseñas de manera local en tu propio servidor alojado en casa.

Yo particularmente recomiendo simplemente usar una buena contraseña maestra, toda la información que se encuentra en los servidores de Bitwarden esta cifrada mediante AES 256, con lo cual seria casi imposible acceder por fuerza bruta. Ademas de esto, los servidores de Bitwarden emplean tecnología avanzada contra hackers, hay personas detrás de ello con los conocimientos necesarios para mantener seguro esta información. Es por ello que personalmente prefiero alojar los datos cifrados en los servidores de Bitwarden a que hacerlo local. Cada quien puede elegir lo que mejor considere necesario.

Puedes leer mas sobre la seguridad de Bitwarden accediendo mediante este LINK.

Bitwarden

Después de que te abras una nueva base de datos o crees una cuenta, puedes comenzar a ingresar tus inicios de sesión y contraseñas. Para hacer esto, simplemente haz clic en el botón “+” al final de la lista.

Además del inicio de sesión y la contraseña, puede agregar un nombre y una URL a la entrada y asignar tu propia nota personalizada. Los registros se ordenan en carpetas, sin embargo, no puedes colocar una carpeta en otra.

Bitwarden te permite almacenar no solo credenciales, sino también información de tarjetas bancarias, información personal (como nombre, dirección, número de teléfono) y notas protegidas.

Otra buena característica de este programa es que puede verificar si tu contraseña está comprometida. Las combinaciones seguras que no se registran en las bases de datos filtradas se marcan con una marca.

Importar Contraseñas de otro servicio

Si te estás cambiando a Bitwarden desde otro administrador de contraseñas, no tienes que transferir todos los datos y combinaciones manualmente. El programa admite funciones de importación y exportación y puede aceptar contraseñas de una gran cantidad de otras aplicaciones y navegadores: LastPass, 1Password, Blur, Chrome, Dashlane, Enpass, Firefox, KeePass, Opera, PassKeep, RoboForm, Vivaldi y Zoho entre otros.

Para importar la información necesaria de un administrador externo, tendras que ir a la pagina web, abrir la configuración del cliente web de Bitwarden, selecciona desde dónde deseas transferir los registros y sigue las instrucciones.

Autocompletar Datos

Bitwarden, como corresponde a cualquier administrador de contraseñas respetuoso y de los grandes, no solo puede ingresar tus credenciales al ingresar cuentas, sino que también puede completar automáticamente los campos vacíos en los formularios de registro.

Para hacer esto, crea un nuevo registro en el formato de Identidad en tu bóveda y deje toda la información sobre ti que consideres necesaria: nombre, apellido, dirección, número de pasaporte, etc.

Ahora cuando abras un formulario de registro en cualquier sitio web, haciendo clic en el icono de extensión de Bitwarden en el panel del navegador y seleccionando tu entrada la aplicación ingresará todos los datos por ti. Genial no? xD Y nuevamente repito, toda esta información esta cifrada de extremo a extremo, algoritmo AES256bits, salted hashing y PBKDF2 SHA-256.

Autenticación de dos factores

La autenticación de dos factores te permite aumentar seriamente el nivel de seguridad de tu base de datos de contraseñas. Para habilitarlo, abre la configuración del cliente web Bitwarden y ve a la sección “Autenticación en dos pasos”. Selecciona un método de reconocimiento de usuario y haz clic en Gestionar, y luego sigue las instrucciones.

La versión gratuita de Bitwarden te permite conectar una aplicación de autenticación a tu cuenta (cualquiera es adecuada para Android, iOS o Windows) u ofrece enviarte códigos únicos por correo electrónico(NO RECOMENDADO).

Los clientes premium también pueden elegir métodos de autenticación realmente buenos, como YubiKey OTP, U2F o la clave de seguridad FIDO U2F. Si estas palabras difíciles no te dicen nada XD, entonces premium no es particularmente necesario para ti.

Sin embargo repito, 2FA aumenta considerablemente el nivel de protección de tu cuenta, ya que no solo se necesitaría la contraseña maestra sino también el token generado por tu 2FA, y si es con un hardware al estilo YubiKey pues muchísimo mejor.

Ten en cuenta también que si pierdes por alguna razón el acceso a tu 2FA perderás el acceso a tu bóveda de contraseñas.

2FA para Bitwarden
2FA para Bitwarden

Integración en los navegadores

Bitwarden tiene extensiones para todos los navegadores más o menos populares: Google Chrome, Firefox, Vivaldi, Opera, Microsoft Edge, Safari, Tor y Brave. Los programas pueden funcionar bien incluso si no hay un cliente de escritorio instalado en su computadora (a diferencia de KeePass por ejemplo).

Con la extensión, puedes buscar y sustituir automáticamente las credenciales en los sitios web, ver el contenido de tu repositorio y generar contraseñas resistentes a hack.

Aplicación para móvil

Las versiones para Android e iOS son sencillas, pero con el potencial suficiente para hacer frente a las necesidades del día a día. Mobile Bitwarden se puede desbloquear fácilmente con el sensor de huellas digitales. Además de mostrar y editar la base de datos de contraseñas, la aplicación también puede generar contraseñas seguras y completar formularios automáticamente.

El autocompletado de Bitwarden móvil funciona bien en los navegadores móviles, en particular Chrome y Firefox. Abre cualquier sitio donde esté registrado y haga clic en el campo de inicio de sesión. Se le pedirá que ingrese los datos automáticamente.

La sincronización es automática, sin embargo puedes también presionar una tecla de sincronización si algo no se ha sincronizado del todo.

Alojar el servidor Local — RaspberryPi

¿No quieres usar los servidores de Bitwarden? No tienes que hacerlo Con Docker, puede alojar fácilmente toda la pila de infraestructura de Bitwarden en la plataforma que elija.

El servidor de Bitwarden funciona perfectamente en un Raspberry pi 3 o 4, puedes descargar docker y gestionar todo para alojarlo de manera local, de esta manera puedes confiar en ti mismo sin depender de los servidores de bitwarden.

Anteriormente di me recomendación, yo en lo personal prefiero usar 2FA y una buena contraseña maestra, todo esta cifrado de extremo a extremo y se puede corroborar con el código abierto a través de github. Pero si aun así deseas añadir mas capa de “seguridad” que ojo, que se aloje de manera local, no significa que pueda ser mas seguro que alojarlo en los servidores de Bitwarden.