PwdFortress

Quién escribe en PwdFortress

Nuestro equipo: quiénes somos, qué probamos y por qué nos tomamos en serio la seguridad de las contraseñas.

EG

Eric Gerard

Editor · Especialista en gestores de contraseñas y criptografía aplicada

Editor independiente desde hace 12 años, ex administrador de red en una pyme industrial francesa (Cisco CCNA 2014). En PwdFortress pruebo cada gestor de contraseñas como un cliente que paga — creación del vault, importación desde Chrome/Bitwarden/1Password, tests de compartición cifrada, auditoría del modelo zero-knowledge. Ninguna cifra publicada proviene de una ficha de marketing.

Mi trayectoria empieza en 2010 como administrador de red de una pyme industrial francesa: tres sedes, dos firewalls Cisco ASA, y responsabilidad del dominio Active Directory con su política de complejidad de contraseña. Allí vi la brecha entre la política impuesta por el RSSI (12 caracteres, rotación cada 90 días, complejidad) y la realidad de los post-it bajo el teclado. Obtuve la Cisco CCNA en 2014 y luego pasé a la edición tech de afiliación. En PwdFortress trabajo de manera autodidacta sobre criptografía aplicada: lectura de RFCs (RFC 8018 PBKDF2, RFC 9106 Argon2, RFC 8949 CBOR para WebAuthn), auditoría de los whitepapers de Bitwarden y 1Password, lectura de las auditorías independientes Cure53 y Praetorian publicadas sobre los gestores que recomendamos. Pruebo cada producto durante al menos 14 días como cliente real: creación del vault, importación desde otros gestores, compartición cifrada, breach monitoring, recuperación de cuenta. Publico bajo mi nombre completo y respondo personalmente las preguntas técnicas a través del formulario de contacto.

12+ años en edición tech e infraestructura de red

¿Una pregunta sobre un gestor que hayamos probado o un modelo de amenaza? Escríbeme directamente a contact@pwdfortress.com — respondo personalmente.

Áreas cubiertas

  • Pruebas de gestores de contraseñas (Bitwarden, 1Password, Proton Pass, NordPass, Dashlane, KeePassXC)
  • Auditoría del modelo zero-knowledge: derivación Argon2 / PBKDF2, cifrado del vault AES-256, sealed sharing
  • Pruebas de passkeys (WebAuthn / FIDO2) en Chrome, Safari, Firefox y llaves de hardware YubiKey
  • Auditoría 2FA: TOTP, push, SMS, tokens hardware, códigos de recuperación
  • Migración entre gestores: exportación segura, importación y purga del vault anterior

Nuestro equipo extendido

Más allá de Eric, nuestros artículos técnicos pasan por una revisión a cargo de consultores externos anonimizados por petición propia. No son coautores: son revisores remunerados por prestación para verificar las afirmaciones criptográficas antes de publicar.

  • Revisor técnico #1 — Criptografía aplicada

    13 años de experiencia en criptografía aplicada (equipo de seguridad de una fintech francesa), experto en derivación de claves (Argon2, scrypt, PBKDF2), auditoría de esquemas de cifrado de vault, revisiones de código TypeScript / Rust alrededor de libsodium. Verifica nuestras afirmaciones sobre los parámetros del KDF (memoria, iteraciones) y la resistencia a ataques GPU antes de publicar. Plazo medio de revisión: 6 días hábiles.

  • Revisor técnico #2 — Identidad y WebAuthn

    10 años en gestión de identidad y estándares FIDO (ex implementador de un IdP corporativo OIDC + WebAuthn). Verifica nuestros artículos sobre passkeys, atestación de autenticadores, sincronización iCloud Keychain / Google Password Manager y riesgos de handoff entre dispositivos. Plazo medio de revisión: 7 días hábiles.

Estándares editoriales

Cada artículo publicado en PwdFortress sigue el siguiente proceso, sin excepciones ni atajos.

  • Revisión técnica por pares antes de publicar

    Cualquier artículo con afirmaciones criptográficas medibles (parámetros KDF, modelo de amenaza, claims de seguridad) es revisado por uno de nuestros dos revisores técnicos. Las afirmaciones no verificables se retiran.

  • Fuentes primarias obligatorias

    Cada cifra o parámetro criptográfico citado debe apuntar a la documentación oficial del gestor (whitepaper, documentación para desarrolladores) o a una auditoría independiente publicada (Cure53, Praetorian, NCC Group). Las declaraciones de marketing nunca se reproducen sin verificación.

  • Ciclo de revisión máximo de 90 días

    Ningún artículo permanece publicado más de 90 días sin una revisión de su contenido técnico. La fecha del frontmatter (datePublished / dateModified) refleja la última verificación real, no un build CI cosmético.

  • Política pública de correcciones

    Si se reporta un error factual, corregimos en menos de 48 horas hábiles y añadimos una nota fechada al pie del artículo explicando el cambio. Sin correcciones silenciosas.

  • Conflictos de interés declarados en cada página

    Las páginas con enlaces de afiliación llevan un disclaimer en cabecera: banner permanente + atributo HTML rel="sponsored nofollow" en cada enlace comercial. Sin excepciones.

Ver nuestro proceso de prueba en detalle

Leer la metodología completa