PrivaPass

Fundamentos de la seguridad de contraseñas

Cómo se roban realmente las contraseñas

La mayoría de los robos de cuentas no implican descifrar una contraseña en absoluto. Miles de millones de pares de correo y contraseña procedentes de filtraciones de datos anteriores se comercian en línea, y los atacantes simplemente los prueban en otros sitios: una técnica llamada relleno de credenciales que funciona porque la gente reutiliza la misma contraseña en todas partes. Las contraseñas débiles o comunes también caen rápidamente ante las herramientas automatizadas de ataque por diccionario y fuerza bruta, mientras que las páginas de phishing capturan todo lo que escribes. La reutilización es, con diferencia, el mayor riesgo: un único sitio filtrado puede exponer todas las cuentas que comparten esa contraseña.

Qué hace que una contraseña sea realmente fuerte

La longitud importa más que los símbolos. Una frase de contraseña aleatoria de 16 caracteres resiste los ataques de fuerza bruta durante siglos, mientras que un breve "P@ssw0rd!" cae en segundos pese a su aspecto complejo. Cada cuenta debería tener su propia contraseña única, de modo que una sola filtración no se propague en cascada por todos tus inicios de sesión. Evita nombres, fechas de nacimiento y palabras del diccionario: cualquier cosa que pueda adivinarse a partir de tu vida pública. Un generador elimina la previsibilidad humana al producir cadenas de alta entropía que a nadie se le ocurriría elegir.

Por qué un baúl en el dispositivo supera a la nube

Los gestores de contraseñas en la nube guardan una copia cifrada de tu baúl en sus servidores, lo que los convierte en un objetivo de alto valor, y debes confiar en su seguridad, en su personal y en su disponibilidad. PrivaPass mantiene tu baúl cifrado con AES-256-GCM dentro del almacenamiento de tu propio navegador, de modo que no hay ningún servidor central que vulnerar, ninguna cuenta que suplantar mediante phishing ni ninguna suscripción que pueda caducar. Tu contraseña maestra nunca sale de tu dispositivo, y las comprobaciones de filtraciones usan k-anonymity, así que ni siquiera una consulta revela nada.

¿Qué es PrivaPass?

PrivaPass es un gestor de contraseñas gratuito que funciona íntegramente en el navegador y que genera, almacena y administra todas tus contraseñas con cifrado AES-256-GCM, el mismo estándar en el que confían bancos y gobiernos. Su generador integrado crea contraseñas aleatorias y criptográficamente fuertes con longitud personalizable (más de 64 caracteres) y las combinaciones que elijas de mayúsculas, minúsculas, números y caracteres especiales, para que nunca tengas que inventar una contraseña débil o repetida. La gente lo usa para dar a cada cuenta una contraseña única, guardar los accesos de banca, correo y redes sociales tras una única contraseña maestra, comprobar si una contraseña ha aparecido en una filtración de datos conocida y llevar una copia de seguridad cifrada entre el portátil y el móvil. Toda tu bóveda vive en el IndexedDB de tu navegador y se cifra antes incluso de escribirse en el disco — nada se transmite a ningún servidor, ni siquiera durante las comprobaciones de filtraciones. No hay instalación, no hay registro y no hay suscripción. Como toda la criptografía se ejecuta como JavaScript directamente en tu navegador, PrivaPass funciona totalmente sin conexión en cuanto la página ha cargado, y tu bóveda y las contraseñas generadas nunca salen de tu dispositivo.

Cómo usar PrivaPass

  1. 1

    1. Generar una contraseña

    Usa el generador integrado para crear contraseñas aleatorias de alta complejidad, con opciones personalizables: longitud, uso de mayúsculas y minúsculas, números y caracteres especiales. Cada contraseña generada es criptográficamente aleatoria.

  2. 2

    2. Guardar en la bóveda

    Almacena tus contraseñas de forma segura en la bóveda cifrada, que solo puede abrirse con tu contraseña maestra. Organiza tus entradas, añade URLs de sitios y notas, y accede a ellas siempre que las necesites sin que ningún dato salga de tu dispositivo.

  3. 3

    3. Exportar y respaldar

    Descarga copias de seguridad cifradas de tu bóveda completa en cualquier momento. Estas copias de seguridad permanecen cifradas y protegidas por tu contraseña maestra, lo que te permite transferir tus contraseñas entre dispositivos de forma completamente segura.

¿Por qué es seguro PrivaPass?

Los gestores de contraseñas en la nube guardan una copia cifrada de tu bóveda en sus propios servidores, lo que los convierte en un objetivo de gran valor — y te obliga a confiar en su seguridad, en su personal y en su disponibilidad. PrivaPass hace lo contrario: genera y cifra todo en tu navegador con AES-256-GCM, y tu bóveda nunca sale de tu dispositivo. No hay ningún servidor central que vulnerar, ninguna cuenta que suplantar mediante phishing ni ninguna suscripción que pueda caducar. Tu contraseña maestra nunca se almacena ni se transmite a ningún sitio — ni en un servidor, ni en memoria más allá del instante que tarda en descifrar tu bóveda — de modo que la recuperación es imposible por diseño, lo que también significa que nadie más que tú puede abrirla jamás. Como todo se ejecuta por completo en el lado del cliente, no tienes que creerlo solo por confianza: abre la pestaña «Red» (Network) de las DevTools de tu navegador mientras generas una contraseña o guardas una entrada y verás que nunca se realiza ninguna solicitud de subida. Para una prueba aún más clara, apaga el Wi-Fi después de cargar la página: generar, guardar, buscar y exportar siguen funcionando, porque nunca había nada destinado a ir a un servidor. La única función que toca Internet es la comprobación opcional de filtraciones, y aun esa usa el método de k-anonymity, enviando solo los cinco primeros caracteres del hash de la contraseña, para que tu contraseña siga siendo privada durante la consulta.

Preguntas frecuentes

No. PrivaPass almacena todos los datos exclusivamente en el IndexedDB de tu propio navegador, con cifrado fuerte que solo puede descifrarse con tu contraseña maestra. La contraseña maestra tampoco se almacena en ningún lugar — ni en el dispositivo ni en ningún servidor. Solo tú puedes acceder a tu bóveda de contraseñas.
La contraseña maestra no se almacena en ningún lugar y no puede recuperarse si la olvidas — es el fundamento de la arquitectura de privacidad total. Por eso es imprescindible guardarla en un lugar seguro fuera del dispositivo, como una nota escrita a mano guardada en un sitio físico de confianza. Ese nivel de responsabilidad es el precio de la privacidad total: sin recuperación de contraseña, sin riesgo de que nadie más acceda a tu bóveda.
Sí. Puedes descargar un archivo de copia de seguridad cifrado de tu bóveda completa mediante la función de exportación, e importarlo en otro dispositivo usando la misma contraseña maestra. Esto te permite migrar o sincronizar tus contraseñas entre dispositivos de forma segura.
PrivaPass puede comprobar si alguna de tus contraseñas ha sido expuesta en filtraciones de datos conocidas usando el servicio Have I Been Pwned. Este proceso está diseñado para preservar tu privacidad: el método utilizado solo envía una pequeña parte del resultado del hash de la contraseña al servicio de verificación, de modo que la contraseña real nunca queda expuesta durante la consulta.
Sí. Al estar almacenadas en el IndexedDB del navegador, las contraseñas se eliminarán si limpias los datos del sitio en la configuración del navegador. Para evitar la pérdida de datos, se recomienda encarecidamente hacer copias de seguridad cifradas regularmente usando la función de exportación y guardarlas en un lugar seguro.
Sí funciona sin conexión, y no, no se sube nada. Generar contraseñas, guardar y buscar entradas y exportar tu copia de seguridad cifrada se ejecutan íntegramente en tu dispositivo sin necesidad de conexión, así que puedes usar PrivaPass en un avión o con el Wi-Fi apagado en cuanto la página ha cargado. Tus contraseñas y tu bóveda nunca se transmiten a ningún sitio — puedes comprobarlo abriendo la pestaña «Red» (Network) de las DevTools de tu navegador mientras trabajas, o simplemente desconectándote de Internet y viendo que todo sigue funcionando. La única excepción es la comprobación opcional de filtraciones, que por diseño solo envía los cinco primeros caracteres del hash de la contraseña, nunca la contraseña en sí.
Muy fuertes. PrivaPass usa el generador de números aleatorios criptográficamente seguro integrado en tu navegador (la Web Crypto API) — no un atajo de software predecible — para producir contraseñas de alta entropía que ninguna persona ni herramienta basada en patrones podría adivinar. Tú controlas la longitud (más de 64 caracteres) y qué conjuntos de caracteres incluir: mayúsculas, minúsculas, números y símbolos especiales. Como la longitud aporta mucha más fortaleza que la complejidad por sí sola, una contraseña aleatoria de 16 caracteres ya resiste los ataques de fuerza bruta durante siglos. Las contraseñas se generan localmente y solo se guardan en tu bóveda si decides guardarlas.