Cada año leemos lo mismo: la causa número uno de cuentas comprometidas sigue siendo la reutilización de contraseñas. No un ataque sofisticado, no un zero-day en tu infraestructura — el mismo password que usaste en aquella tienda online de 2018 que filtró su base de datos.
Y sí, lo sabes. Pero la realidad es que recordar 80 contraseñas únicas y fuertes es imposible. Por eso un gestor de contraseñas dejó de ser cosa de paranoicos y pasó a ser higiene básica, como antivirus en los 2000.
1. El problema real: reutilización + filtraciones masivas
Cada mes hay nuevas filtraciones de bases de datos con millones de combinaciones email + password. Esos dumps acaban en listas que los atacantes prueban en otros servicios. Si reutilizas, basta UNA filtración para que pierdan el acceso a todo: email, Netflix, banca, etc.
Páginas como Have I Been Pwned confirman que el email medio aparece en tres o cuatro filtraciones. La pregunta no es si te va a tocar; la pregunta es si tendrás contraseñas únicas el día que toque.
2. Por qué un Excel cifrado, una nota, o el navegador no bastan
"Yo lo tengo en una hoja de cálculo con contraseña". Vale, pero:
- El cifrado del Excel/Sheets nativo es débil. Hay herramientas que lo rompen en minutos si tu master password no es muy fuerte.
- No tienes auto-relleno. Acabas copiando y pegando, lo cual a veces deja la contraseña en el portapapeles donde otra app puede leerla.
- No tienes auditoría. ¿Cuántas de tus contraseñas son débiles? ¿Cuántas están repetidas? ¿Cuántas han sido filtradas? Un gestor moderno te lo dice.
- El gestor del navegador es mejor que nada, pero asume que solo accedes desde ese navegador y que tu sesión es segura. Si tu PC se compromete, el navegador es de los primeros lugares donde el malware mira.
3. Qué debe tener un gestor de contraseñas decente
No todos los gestores son iguales. La barra mínima que deberías exigir es:
- Cifrado de extremo a extremo. El servidor del proveedor NUNCA debe poder leer tus contraseñas — solo tú con tu master password.
- Algoritmos modernos. AES-256-GCM o ChaCha20-Poly1305 para datos, Argon2id para derivar la clave del master password (no PBKDF2 antiguo).
- Generador de contraseñas robusto. Personalizable (longitud, símbolos, frases pronunciables…).
- Auditoría de salud: repetidas, débiles, expuestas en filtraciones (vía hashes parciales — el servicio nunca ve tu password real).
- 2FA / TOTP integrado o, mejor, externo. Algunos gestores meten los códigos TOTP en la misma bóveda, otros separan (más seguro).
- Compartición segura. Para equipos, poder compartir credenciales sin enviarlas en Slack o email.
4. Medel Vault: nuestra propuesta
Medel Vault es nuestra app de gestión de contraseñas, construida con dos premisas claras: cifrado de extremo a extremo y cero confianza en el servidor. Lo que esto significa en la práctica:
- Tu master password nunca sale de tu dispositivo. De ella derivamos (con Argon2id) la clave que cifra tu bóveda localmente.
- Lo que sube a nuestros servidores es un blob cifrado. Aunque alguien comprometiera nuestra base de datos, el atacante tendría que romper AES-256 — espera sentado.
- Generador, auditoría de salud, TOTP, compartición por equipos y autocompletado en navegador.
- App nativa de móvil con desbloqueo biométrico, sincronización con tu cuenta en segundos.
5. Migrar es fácil
Si vienes de otro gestor (LastPass, 1Password, KeePass, Bitwarden, el del navegador…), Medel Vault importa los CSV estándar. En menos de 5 minutos tienes tu bóveda completa migrada, organizada por carpetas/etiquetas.
6. La objeción más común: "¿y si pierdo mi master password?"
Es una pregunta legítima. La respuesta honesta: nadie puede recuperarla por ti, ni siquiera nosotros (si pudiéramos, el cifrado de extremo a extremo no significaría nada). Lo que Medel Vault hace es:
- Forzar un kit de recuperación en el alta — una clave de 24 caracteres que guardas en papel/cofre.
- Permitir contactos de emergencia con acceso diferido (tu cónyuge accede 48 h después de pedir el acceso, dándote tiempo a cancelar si no eras tú).
Cierre
Las contraseñas no van a desaparecer en los próximos 10 años, por mucho que se hable de passkeys. Mientras tanto, la pregunta no es "si necesito un gestor", sino "cuál es el menos malo". Si quieres uno que no te pida confiar en su servidor, échale un vistazo a Medel Vault o escríbenos si tienes dudas técnicas — respondemos en horas.
