OPSEC52 / Semana 7 — El gestor de contraseñas como compartimentación
Cada compartimento que has construido hasta ahora —correos separados, teléfonos separados, perfiles de navegador separados— comparte una costura silenciosa capaz de volver a unirlos todos — una contraseña reutilizada. Puedes mantener una higiene de identidad impecable durante meses y luego entrar en dos cuentas seudónimas con la misma cadena, entregándole gratis al adversario la clave que las une. Reutilizar contraseñas no es un problema de fortaleza; es un problema de vinculación. Un gestor de contraseñas resuelve ambas cosas a la vez, y es el único hábito de OPSEC que de verdad mantendrás.
Modelo de amenaza: ataques de relleno de credenciales que reutilizan pares usuario/contraseña filtrados en cada sitio que tengas; reutilización de contraseñas que vincula criptográficamente cuentas seudónimas por lo demás separadas en cuanto se filtra una sola base de datos; 2FA por SMS y correo que ata una cuenta “anónima” a un número de teléfono o identidad de recuperación; respuestas a preguntas de seguridad que codifican en silencio tu biografía real; y contraseñas guardadas en el navegador que se sincronizan calladamente con una cuenta de Google o Apple con tu nombre real.
Reutilizar es un ataque de vinculación, no solo un problema de fortaleza
Casi todos los consejos sobre contraseñas hablan de fortaleza: longitud, entropía, “no uses password123”. Ese enfoque pierde el punto de OPSEC. Para quien construye compartimentos, el peligro no es que una contraseña débil sea descifrada; es que una reutilizada sea correlacionada.
Los volcados de brechas son una mercancía. Miles de millones de pares correo:contraseña de años de filtraciones son buscables, agregables y cruzables. Cuando tu alias de la Semana 3 y tu cuenta con nombre real aparecen ambos en volcados compartiendo la misma contraseña, esa cadena compartida es una huella probabilística —a menudo única—. No filtraste tu identidad; filtraste una clave de unión, y otro ejecutó la consulta. Cada muro que levantaste entre identidades tiene una puerta, y la puerta es esa contraseña que te gustó lo suficiente como para escribirla dos veces.
La solución es mecánica y total: una contraseña única y de alta entropía para cada cuenta, generada y guardada de modo que nunca las veas ni las recuerdes. Ese es todo el trabajo de un gestor de contraseñas. La fortaleza es un efecto secundario gratis; la verdadera ganancia es que nada se vincula con nada.
Elige un gestor que no filtre por diseño
- KeePassXC — sin conexión, local, de código abierto. Tu bóveda es un único archivo
.kdbxcifrado que controlas y respaldas tú mismo. Sin cuenta en la nube, sin empresa a la que citar judicialmente, sin telemetría de sincronización. La opción por defecto cuando el modelo de amenaza es serio. - Bitwarden / Vaultwarden — código abierto con sincronización. Usa el servidor autoalojado Vaultwarden si quieres sincronización entre dispositivos sin confiar en un tercero; la bóveda va cifrada de extremo a extremo en cualquier caso. Razonable cuando la comodidad te está empujando a malos hábitos.
- Evita el gestor integrado del navegador cuando sincroniza con una cuenta de nombre real. Chrome→Google y Safari→Apple empujan en silencio cada credencial guardada a una identidad que intentas mantener separada. Si usas autocompletar, apúntalo a la extensión de KeePassXC/Bitwarden, no a la cuenta del sistema.
No hay un “mejor”: hay el que abrirás cada día. Un .kdbx local que de verdad usas gana a una configuración autoalojada perfecta que abandonas.
2FA: deja de dejar que el segundo factor te reidentifique
La autenticación de dos factores es buena; el tipo importa para el anonimato:
- El 2FA por SMS es una fuga de identidad. Ata la cuenta a un número de teléfono, y los números están vinculados por KYC a ti (ver Semana 4). Evítalo en cualquier cuenta seudónima; si un servicio lo obliga, ese servicio sabe quién eres.
- TOTP (códigos de autenticador) es la base: guarda las semillas en tu gestor o en una app TOTP dedicada. KeePassXC genera TOTP de forma nativa, así que el segundo factor vive en la misma bóveda cifrada.
- Las llaves de hardware (FIDO2/WebAuthn) son las más fuertes y a prueba de phishing; una llave barata por nivel de identidad vale la pena para las cuentas que importan.
El principio: tu segundo factor debe demostrar posesión, no identidad. El SMS demuestra identidad. Sáltatelo.
Las preguntas de seguridad son una biografía — así que miente
“Apellido de soltera de tu madre”, “primera mascota”, “ciudad donde naciste”: son un volcado de identidad blando disfrazado de recuperación, y a menudo el eslabón más débil hacia una cuenta. Nunca las respondas con la verdad. Genera una segunda cadena aleatoria para cada respuesta y guárdala en la bóveda junto a la contraseña. Para el servicio es una respuesta; para un adversario que construye tu perfil, es ruido.
Higiene de la bóveda — la frase maestra es ahora toda tu identidad
Consolidar en una sola bóveda eleva lo que está en juego con un solo secreto. Protégelo en consecuencia:
- Frase maestra = diceware, 6+ palabras, memorizada, nunca guardada digitalmente. Esta es la única contraseña que llevas en la cabeza.
- Respalda la bóveda sin conexión — una copia cifrada en un USB en un cajón gana a una bóveda que solo vive en un portátil que puede morir o ser incautado.
- Nunca sincronices el archivo en bruto por una nube de nombre real. Si sincronizas, sincroniza el
.kdbxya cifrado, y prioriza tu propio servidor. - Compartimenta la bóveda misma. Mantén una bóveda separada (archivo separado, frase maestra separada) para tu nivel anónimo. Si tu bóveda diaria es abierta alguna vez bajo coacción o en una máquina comprometida, las credenciales seudónimas no están en ella.
Ese último punto es toda la serie en un solo hábito: el gestor de contraseñas no es solo una herramienta de fortaleza, es un compartimento. Una bóveda por nivel de identidad significa que la brecha de una vida no desbloquea las otras.
Ejercicios de esta semana
- Instala KeePassXC (o levanta Vaultwarden) y crea tu primera bóveda con una frase maestra diceware de 6 palabras.
- Pasa tu correo principal por Have I Been Pwned — cada coincidencia es una cuenta cuya contraseña debes rotar ahora a una única.
- Reemplaza el 2FA por SMS por TOTP (o una llave de hardware) en cada cuenta que lo permita; marca como vinculado a identidad cualquier servicio que obligue al SMS.
- Cambia todas las respuestas a preguntas de seguridad por cadenas aleatorias guardadas en la bóveda — deja de emitir tu biografía.
- Crea una bóveda separada para tus cuentas de nivel anónimo, con su propia frase maestra, y saca esas credenciales de tu bóveda cotidiana.
La próxima semana seguimos el dinero: la capa de desanonimización financiera, donde los metadatos de tarjetas, las cadenas de KYC y las heurísticas on-chain vuelven a pegar en silencio un nombre a todo lo que acabas de compartimentar. Hasta entonces: genera, nunca reutilices, y deja que la bóveda recuerde para que tu adversario no pueda correlacionar.
Curated by Cyber Satoshi