Glosario de contraseñas y autenticación
32 definiciones objetivas — de AES-256 a zero-knowledge — para entender la seguridad de contraseñas y autenticación.
32 términos — 7 categorías
Fundamentos
- Gestor de contraseñas
- Aplicación que genera, almacena y rellena automáticamente contraseñas en un cofre cifrado. Solo la contraseña maestra desbloquea el cofre localmente; el blob cifrado se sincroniza con el servidor (modelo zero-knowledge).
- Cofre (Vault)
- Base de datos cifrada que contiene todas las credenciales, notas seguras y tarjetas de pago. El cofre se cifra en el lado del cliente antes de cualquier sincronización: el servidor solo ve texto cifrado.
- Open source (código abierto)
- Software cuyo código fuente es público y auditable. Para un gestor de contraseñas, el open source permite a investigadores independientes verificar la implementación criptográfica. Bitwarden y KeePassXC son completamente open source.
- Contraseña maestra (Master password)
- La única contraseña que el usuario debe memorizar. Deriva la clave de cifrado mediante una KDF (PBKDF2 o Argon2id) y nunca sale del dispositivo en forma cruda.
Cifrado
- Zero-knowledge (conocimiento cero)
- Arquitectura en la que el proveedor de servicios no puede leer los datos del usuario. La clave de descifrado se deriva localmente desde la contraseña maestra: solo el usuario tiene acceso.
- AES-256
- Estándar de cifrado simétrico con clave de 256 bits (Advanced Encryption Standard). Adoptado por el NIST en 2001, con margen frente al ataque cuántico de Grover. Utilizado por Bitwarden, 1Password y la mayoría de gestores.
- XChaCha20-Poly1305
- Algoritmo de cifrado autenticado (AEAD) que combina XChaCha20 y el MAC Poly1305. Usado por NordPass y Signal. Mejor rendimiento en dispositivos sin aceleración hardware AES.
- E2EE (cifrado de extremo a extremo)
- Cifrado donde solo las dos partes comunicantes pueden leer los datos. En un gestor de contraseñas, E2EE garantiza que el servidor solo vea blobs cifrados, nunca texto en claro.
Contraseñas
- Entropía (bits)
- Medida de la imprevisibilidad de una contraseña en bits. Cada bit adicional duplica el espacio de búsqueda del atacante. Fórmula: L x log2(N), donde L = longitud y N = tamaño del alfabeto. Objetivo NIST: 60 a 80 bits para cuentas personales.
KDF
- PBKDF2
- Password-Based Key Derivation Function 2. Aplica una función pseudoaleatoria (típicamente HMAC-SHA256) miles de veces para ralentizar ataques de fuerza bruta. Bitwarden usa 600.000 iteraciones (umbral OWASP 2023).
- Argon2id
- Ganador del Password Hashing Competition (2015). Combina resistencia a memoria (Argon2i) y resistencia a GPU (Argon2d). Modo por defecto recomendado para derivación de claves de contraseñas maestras. Usado por Bitwarden (opción) y NordPass.
- Salt (sal criptográfica)
- Valor aleatorio único añadido a una contraseña antes de hashearla. Previene ataques de tabla arcoíris y garantiza que contraseñas idénticas generen hashes distintos. Generado con un CSPRNG y almacenado en texto plano junto al hash.
- Hash criptográfico
- Transformación unidireccional de datos en un resumen de longitud fija. Un buen algoritmo (SHA-256, Argon2id) es determinista, no invertible y resistente a colisiones. No confundir con cifrado, que es reversible.
Autenticación
- Passkey (llave de acceso)
- Credencial FIDO2 formada por un par de claves asimétricas. La clave privada permanece en el dispositivo; el servidor solo almacena la clave pública. Elimina las contraseñas y es resistente al phishing de forma nativa. Sincronizable entre dispositivos.
- FIDO2 / WebAuthn
- Estándar abierto de FIDO Alliance y W3C para autenticación fuerte sin contraseña. WebAuthn es la API del navegador; CTAP2 es el protocolo entre la plataforma y el autenticador (llave física, biometría). Base técnica de las passkeys.
- TOTP (contraseña de un solo uso basada en tiempo)
- Código de 6 dígitos generado cada 30 segundos mediante HMAC-SHA1 y la hora actual (RFC 6238). Estándar usado por Google Authenticator, Authy, Bitwarden Authenticator. Resistente a la repetición pero vulnerable al phishing en tiempo real.
- HOTP (contraseña de un solo uso basada en HMAC)
- Variante del TOTP basada en un contador en lugar del tiempo (RFC 4226). El código cambia en cada uso, no cada 30 segundos. Usado en algunas llaves físicas como YubiKey en modo OTP.
- 2FA / MFA (autenticación multifactor)
- Mecanismo que combina al menos dos factores: algo que sabes (contraseña), algo que tienes (teléfono, llave física) o algo que eres (biometría). 2FA es el caso mínimo de dos factores. Reduce drásticamente el riesgo de compromiso por credential stuffing.
- Llave física (Hardware key)
- Dispositivo físico (YubiKey, Google Titan) que almacena una clave privada en un chip seguro y firma desafíos FIDO2. El mayor nivel de seguridad MFA: la clave privada nunca sale del hardware, inmunizando contra el phishing remoto.
- Biometría
- Factor de autenticación basado en una característica física (huella digital, reconocimiento facial). En los gestores de contraseñas, la biometría desbloquea el cofre sin reintroducir la contraseña maestra, pero no sustituye la clave de cifrado.
- Código de recuperación (Recovery code)
- Código único de un solo uso generado al activar el MFA. Permite recuperar el acceso a la cuenta si se pierde el segundo factor. Debe conservarse fuera de línea en un lugar seguro. Es en sí mismo un vector de ataque si se compromete.
Ataques
- Phishing
- Ataque de ingeniería social que suplanta un sitio o servicio legítimo para capturar credenciales u OTP. Las passkeys y llaves físicas FIDO2 son resistentes al phishing de forma nativa porque vinculan criptográficamente la autenticación al origen del sitio.
- Credential stuffing
- Ataque automatizado que prueba pares usuario/contraseña procedentes de filtraciones en otros servicios. Explota la reutilización de contraseñas. Un gestor que genera contraseñas únicas por sitio elimina este vector.
- Fuerza bruta (Brute force)
- Ataque que prueba exhaustivamente todas las combinaciones posibles de una contraseña. La resistencia depende de la entropía y del coste de cálculo impuesto por la KDF. Una contraseña aleatoria de 16 caracteres (95+ bits) está fuera del alcance de GPU modernos.
- Ataque de diccionario
- Variante de la fuerza bruta que prueba primero palabras comunes, variantes (p@ssw0rd, Summer2024!) y combinaciones de diccionario. Herramientas como Hashcat y John the Ripper incluyen reglas de mutación que cubren millones de patrones por segundo.
- Filtración de datos (Breach)
- Incidente de seguridad en el que datos de autenticación (contraseñas hasheadas o en texto plano, correos) son exfiltrados de una base de datos. La filtración de LastPass en 2022 expuso cofres cifrados de millones de usuarios.
- Have I Been Pwned (HIBP)
- Servicio de Troy Hunt que indexa más de 900 millones de contraseñas comprometidas. La API k-anonimato permite verificar si una contraseña figura en la base sin enviarla en texto plano: solo se transmiten los primeros 5 caracteres del SHA-1.
- Keylogger
- Software o hardware que registra todas las pulsaciones de teclado. El autocompletado de los gestores de contraseñas lo neutraliza (las contraseñas nunca se escriben), al igual que las passkeys (sin entrada de texto).
- Session hijacking (secuestro de sesión)
- Ataque que captura una cookie de sesión válida para suplantar a un usuario autenticado. Se produce por sniffing de red, XSS o robo de cookies. Los gestores de contraseñas no protegen directamente contra este vector post-inicio de sesión.
Empresa
- SSO (Single Sign-On)
- Protocolo que permite autenticarse una vez para acceder a múltiples aplicaciones. Basado en SAML 2.0 u OIDC/OAuth 2.0. Los gestores empresariales (Bitwarden, 1Password, Keeper) se integran con IdP (Okta, Azure AD, Google Workspace).
- SCIM
- System for Cross-domain Identity Management (RFC 7643/7644). Protocolo de API REST que automatiza el aprovisionamiento y desaprovisionamiento de cuentas de usuario en un gestor desde un IdP. Elimina cuentas huérfanas cuando los empleados se van.
- Self-hosting (autoalojamiento)
- Alojar un servicio en servidores propios en lugar de en la nube del proveedor. Bitwarden y Vaultwarden (fork open source) son los principales gestores autoalojables. Ofrece soberanía total sobre los datos a costa de la responsabilidad de infraestructura.