Nota Mental: Iniciar sesión rápidamente con Bitwarden en Android

Hay aplicaciones de aplicaciones, y desarrolladores de desarrolladores. Por ejemplo, las aplicaciones de bancos (en Android), algunas son más traumáticas que otras, sobre todo si se intenta iniciar sesión en ellas la primera vez. Pero existen gestores de contraseñas para facilitarnos su uso (en cierta medida).

El problema: las credenciales de acceso son del todo menos recordables

En mi caso particular (y seguramente de algunos más), recientemente el banco venezolano Banco Nacional de Crédito (BNC), relanzó su aplicación para dispositivos móviles, después de varios meses de ausencia.

Muchos esperábamos que se modernizara también la forma de iniciar sesión en su plataforma... cosa, que aún no es así.

El contexto: el banco emplea el número de tarjeta de débito o crédito como nombre de usuario para poder ingresar a su plataforma, y tiene una política modesta para la generación de contraseñas (típico). Sin embargo cuenta con factores de autentificación alternativos como los no tan confiables códigos enviados por correo-e o SMS y la tradicional tarjeta de coordenadas.

La situación es estar fuera de casa u oficina, y tratar de hacer una operación rápida. Si se inicia sesión la primera vez, es todo un proceso, empezando por el simple hecho de introducir unos veinte dígitos numéricos, sin miedo al fracaso, y una contraseña de al menos dieciséis dígitos alfanuméricos y especiales (en el mío, unos veinte). Más, los códigos de confirmación. ¡Terrible! y ni decir si se usa desde un dispositivo no tan reciente.

La alternativa: ¡Un gestor de contraseñas!

Personalmente uso KeePassXC y KeePassDX (en Windows/Linux y Android, respectivamente) como mis gestores de contraseñas principales desde hace un buen tiempo (después de iniciarme en esto de administrar mis contraseñas con LastPass, y luego cambiarme a Bitwarden y Enpass).

Bienvenido a Bitwarden.

¡Atención!: el sitio oficial de Bitwarden es https://www.bitwarden.com (se puede obviar el www.), y la dirección de la bóveda es https://vault.bitwarden.com. Hay que acotar esto, porque últimamente han surgido una serie de sitios web con direcciones similares (más no la misma) y apariencia calcada, con el fin de robar datos. Siempre, siempre, siempre, visitar las direcciones de forma directa, y en lo posible (o absolutamente), ignorar las sugerencias de los resultados de búsqueda y los vínculos compartidos por correo-e (salvo que hayan sido solicitados previamente).

Sin embargo quise aplicar primero con Bitwarden (estoy pensando en hacer luego uno KeePassXC y KeePassDX, pero se lleva más tiempo), porque, primero su relativa facilidad de uso, es un todo en uno que integra sincronización entre varios dispositivos de forma súper rápida, segundo, porque se ha ganado su reputación de ser confiable, producto de, tercero, es de código abierto, mantenido por una gran comunidad.

Desde aquí se crea una cuenta de Bitwarden.

Si es primera vez en usar Bitwarden, hay que crearse una cuenta.

Las hay para cada tipo de usuario: individual, familiar o empresarial, gratuita o premium. La gratuita, no tiene mucho que envidiarle a, LastPass por ejemplo (que es uno de los objetivos principales), sin embargo en la premium (que no es tan costosa, apenas USD $10 al año e incluso aceptan criptomonedas), contamos con generador de códigos de un sólo uso (OTP), almacenamiento encriptado adicional de 1 GB, servicio de envío de archivos encriptados, protección mediante llaves físicas, etcétera.

La versión gratuita es más que suficiente para la mayoría de los casos (y si se requiere generar códigos OTP, también hay más opciones todavía, incluso para navegadores).

Completando los datos de la cuenta de Bitwarden

Los primeros datos que nos pide Bitwarden son los típicos: una dirección de correo-e, nombre completo (a efecto de soporte o si se desea más adelante suscribirse a un plan de pago), la contraseña maestra (muy importante, sobre todo porque Bitwarden, por razones de seguridad, no recupera contraseñas) y una pista para recordar la contraseña (opcional).

Verificación de correo-e de Bitwarden.

Ya creada la cuenta, recibiremos un correo-e de bienvenida, y seguidamente hay que verificar la dirección de correo-e, por cuestiones de seguridad (también recibiremos notificaciones de intento de inicios de sesión, cuando se hace desde un dispositivo nuevo).

Mensaje recibido de Bitwarden para verificar la dirección de correo-e.

Revisamos el mensaje recibido vía correo-e, siendo legítima la dirección no-reply@bitwarden.com, luego confirmamos el vínculo recibido y veremos en el panel de usuario de Bitwarden (o la bóveda web) que la dirección de correo-e ya ha sido verificada.

Hasta aquí todo bien, usando Bitwarden en la computadora, procedemos entonces a configurarlo en el teléfono móvil (Android, sin embargo, el proceso puede no diferenciarse mucho en iOS).

Bitwarden en el teléfono móvil

Bitwarden está disponible para las principales plataformas de escritorio y móviles habidas y por haber (y si no lo está, también cuentan con un repositorio en GitHub para más opciones, incluida la de hospedaje propio, pero ya son palabras más que mayores).

Recordatorio: Si se desconfía de los vínculos de descarga, el sitio web oficial es https://bitwarden.com/download/, donde también hay códigos QR para descarga directa en Android e iOS.

Los primeros pasos de Bitwarden en Android.

Descargado e instalado Bitwarden (desde la Google Play Store o App Store de Apple), configuramos lo siguiente en los ajustes de la aplicación:

1. y 2. Encendemos el servicio de autorellenado, esto es, cuando intentemos iniciar sesión en una aplicación o un sitio web, Bitwarden automáticamente intentará rellenar las credenciales de acceso (no más escribir manualmente nombres de usuarios ni contraseñas).

3. Seleccionamos Bitwarden como aplicación para el autorellenado.

4. Aceptamos la declaración de privacidad de Bitwarden.

5. Activamos el desbloqueo con biometría (si tu dispositivo cuenta con esa función) o en su defecto con un código numérico (PIN), para que tampoco tengas que escribir a cada instante la contraseña maestra de Bitwarden.

6. Opcionalmente podemos encender también la aprobación de solicitudes de inicio de sesión, de Bitwarden, una capa extra de seguridad, en caso de que visites la versión web de Bitwarden o instales Bitwarden en otro dispositivo o extensión para el navegador. No tienes que verificar por correo, sino simplemente desde la aplicación del teléfono.

Iniciando sesión en una aplicación en Android con Bitwarden

Para esta demostración, como comenté, estoy usando la aplicación del banco venezolano BNC, disponible tanto para Android como para iOS.

Nuevamente haciendo hincapié en visitar siempre los sitios web oficiales donde encontrar los vínculos a las aplicaciones legítimas, sobre todo si se trata de instituciones financieras.

Iniciando sesión en la aplicación del banco Banco Nacional de Crédito con Bitwarden.

Al abrir la aplicación, ingresamos los datos de acceso (nombre de usuario, que al momento sigue siendo el número de tarjeta de débito o crédito, seguidamente del número de cédula de identidad, en el caso de cuentas bancarias de personas naturales).

En la siguiente pantalla nos pide ingresar la contraseña.

7. Es aquí donde entra a relucir el autorellenado de Bitwarden. Siendo primera vez, nos pedirá que abramos la bóveda de contraseñas.

Llenamos los datos de acceso de la aplicación o sitio web en Bitwarden.

8. Como la bóveda está vacía, nos pedirá los datos necesarios del inicio de sesión.

9. El nombre se referirá, bien sea a la aplicación o al sitio web del que estamos guardando los datos. A manera demostrativa dejé el mismo nombre de la aplicación del banco, pero obviamente es al gusto de cada quien y de que sea rápidamente reconocible. Se puede usar algo tipo banco bnc personal (o de fulano, o algo no tan obvio también es válido).

10. La url o dirección web de la aplicación o sitio web. Esto es algo sumamente importante y delicado, porque si ingresamos una dirección errónea (o incluso falsa), es probable que puedan filtrar nuestros datos (no solo con Bitwarden, sino en todo gestor de contraseñas). Es algo básico, sí, pero también es posible hacer uso de filtros o de manejar varias direcciones electrónicas para un mismo usuario, todo depende de nuestras necesidades. Nuevamente estoy haciendo uso de la dirección de la aplicación, pero también puedo agregar la dirección web del banco, cosa de que Bitwarden pueda rellenar automáticamente tanto la aplicación del BNC, como el sitio web del mismo (si accedo desde un navegador web como Mozilla Firefox o Google Chrome).

11. En otras propiedades del elemento que estoy guardando, puedo asignar opcionalmente una carpeta (en otros gestores de contraseñas también se manejan etiquetas) para tener mejor ordenadas las contraseñas, por ejemplo, una carpeta para contraseñas de redes sociales, otra para sitios web relacionados a productividad, o de ocio... las categorías que uno quiere crear. En esta demostración no he asignado ninguna carpeta, pero se puede hacer a posteriori.

12. Guardamos el elemento (muy importante).

13. Regresamos a la pantalla de la aplicación en cuestión (la del banco BNC) y vemos que Bitwarden automáticamente recoge los datos relacionados al inicio de sesión de mi cuenta del BNC.

Hasta aquí, la configuración básica y esencial del gestor de contraseñas Bitwarden. Desde este momento es posible ir añadiendo más contraseñas, de otros sitios web o aplicaciones con más facilidad, e incluso guardar notas con información sensible o relacionada a los inicios de sesión, como pistas de recordatorio de contraseñas, o las benditas preguntas de seguridad que están asociadas a una buena cantidad de sitios web (sobre todo, los relacionado con los bancos). 

También, si alguna vez guardaste un inicio de sesión en un navegador web (la gente normal las guarda en Google Chrome, porque es lo que viene con el teléfono y a cada momento pregunta si quieres guardar las contraseñas), es bueno saber que puedes importar esas credenciales a tu bóveda de Bitwarden (¡y que es un pecado capital guardar las contraseñas en el navegador!).

Extra: Protegiendo la cuenta de Bitwarden con un factor adicional

Bitwarden permite también la activación de un segundo factor de autentificación (2FA), muy importante en estos tiempos en los que nuestros datos son manipulables sin escrúpulos tan seguidos.

Ajustes de Bitwarden en la bóveda web.

Nos dirigimos a los ajustes de Bitwarden desde la bóveda web.

Seleccionamos el proveedor o vemos los códigos de recuperación del segundo factor.

Si es primera vez que activamos el segundo factor, seleccionamos un proveedor, que pueden ser:

• Una aplicación de autentificación (la más popular), como Google Authenticator, Microsoft Authenticator, Authy, y un largo etcétera, tanto para dispositivos móviles como para computadoras y navegadores web. Es a criterio de cada quien. En esta demostración estoy usando la de Microsoft Authenticator.
• Una llave física Yubikey (para suscriptores premium).
• Un servicio alternativo como Duo (también para suscriptores premium).
• Correo electrónico (que no es recomendable por defecto, pero que puede servir en caso de no contar con otro método de autentificación por cualquier motivo circunstancial).

Como ya lo tengo activado, simplemente veo la clave de respaldo, pero el procedimiento es similar.

Ingresamos la contraseña maestra de Bitwarden.

Bitwarden nos pedirá la contraseña maestra para verificar que queremos ver la clave de respaldo del método de autentificación.

La clave de respaldo de la autentificación 2FA junto con el código QR.

Y en la siguiente pantalla nos muestra el código QR para enlazar la aplicación (en mi caso) generadora de códigos OTP para Bitwarden (Microsoft Authenticator), junto con la clave de respaldo como tal, por si queremos tenerla anotada aparte, o para ingresarla manualmente en otra aplicación (porque en realidad son fácilmente olvidables y perdibles).

Ingreso de la clave de respaldo 2FA de Bitwarden en la aplicación autentificadora.

14. En la aplicación autentificadora, buscamos el icono o la opción para añadir un nuevo elemento. Puede ser de forma manual o bien escaneando un código QR (cualquiera de las dos es válida). A efectos de esta demostración, la estoy haciendo de forma manual, porque quiero tener una copia de dicha clave de respaldo, almacenada aparte, por si un extravío o pérdida.

15. Dependiendo de la aplicación, ésta puede venir con una serie de perfiles, por así decirle, los cuales se ajustarán al tipo del modo de autentificación (ya que hay varios formatos o algoritmos). El más común es el algoritmo TOTP: Time-Based One-Time Password (o Contraseña de Un Solo Uso Basado en Tiempo), el cual consiste en la generación de un código de seis dígitos numéricos aleatorios cada 30 segundos.

16. Luego llenamos los datos correspondientes, el nombre de la aplicación o servicio (en este caso, lo guardo como Bitwarden, pero se puede ser más detallado si se tiene más de una cuenta en un mismo servicio), y en el siguiente campo, la clave de respaldo 2FA.

17. Guardamos el elemento y vemos de inmediato que la aplicación de autentificación genera cada 30 segundos una clave OTP, en este caso de seis dígitos numéricos.

Otro dato importante: siempre es indispensable verificar que la hora del dispositivo esté sincronizada, tanto la hora local como el huso horario, ya que por una diferencia tan trivial entre segundos, es posible que genere un código erróneo.

Extra: Cambiar la configuración de encriptación

Sin ir muy a lo técnico, podemos modificar (un poco) la forma en que Bitwarden encripta nuestra bóveda de contraseñas.

Actualmente Bitwarden utiliza el cifrado estándar AES-CBC, empleado por el gobierno americano y otros entes gubernamentales a nivel mundial, para los datos de la bóveda y PBKDF2 SHA-256 para derivar la clave de cifrado (pero se vienen cambios como compatibilidad con Argon2, que es otro algoritmo de derivación de claves, empleado por aplicaciones como KeePass).

Incremento de la función de derivación de claves en Bitwarden.

En ese contexto de la derivación de claves, es bueno (y más que recomendado), modificar los valores que vienen por defecto (y que en la mayoría de los casos, son los valores mínimos).

Por ejemplo, los valores por defecto de KDF (el Key Derivation Function o Función de Derivación de Claves), se ubican entre 5.000 y 50.000 (dependiendo de la antigüedad de la cuenta de Bitwarden, ya que este valor se ha venido cambiando de tanto en tanto). Para el año 2022 recomendaban un mínimo de 500.001 y este año Bitwarden está por llevarlo a 600.001. En mi caso particular incrementé la derivación a 650.000.

KDF es un algoritmo criptográfico que deriva claves secretas de valores como contraseñas, claves maestras, etc. Así es como los administradores de contraseñas crean una clave de cifrado, a partir de su contraseña maestra, para proteger su bóveda de contraseñas.

¿Pero qué conlleva esto? A mayor número de derivación, mayor será el impacto al momento de descifrar la bóveda, es decir, dependiendo de nuestro dispositivo, puede llevarse más tiempo el abrir la bóveda y descifrar el contenido. Y esto en parte es bueno, en caso de alguna posibilidad de filtrado de datos.

Si ya estás listo para dar el primer paso, por enésima vez, la dirección oficial de Bitwarden es: https://www.bitwarden.com, está en inglés, pero no es para salir corriendo del susto, pues las aplicaciones y extensiones están disponibles en varios idiomas, incluido el español.