← Volver al blog
·6 min de lectura

Por qué el cifrado Zero-Knowledge es fundamental para un gestor de contraseñas

Cuando confías tus datos más sensibles a un gestor de contraseñas — credenciales bancarias, correos electrónicos, portales de salud — estás tomando una decisión de confianza fundamental. Pero ¿y si no tuvieras que confiar en nadie?

El problema de los gestores tradicionales

La mayoría de los gestores de contraseñas cifran tus datos, pero la clave de cifrado se deriva en el servidor, o un hash de tu contraseña maestra se transmite durante el inicio de sesión. Esto significa:

  • La empresa podría acceder a tus datos (por orden judicial, un empleado malintencionado o una filtración)
  • El hash de tu contraseña maestra viaja por la red, creando una superficie de ataque
  • Una filtración del servidor podría exponer material criptográfico

LastPass lo demostró en 2022: durante su filtración, las bóvedas cifradas fueron robadas junto con los metadatos. Aunque el cifrado resistió, los datos robados dan a los atacantes tiempo ilimitado para forzar contraseñas maestras débiles.

Qué significa realmente Zero-Knowledge

Zero-knowledge significa que el servidor nunca tiene la capacidad de descifrar tus datos — no "elegimos no hacerlo", sino "es matemáticamente imposible." Las diferencias clave:

  • La derivación de claves ocurre en tu dispositivo. Tu contraseña maestra se transforma en una clave de cifrado usando Argon2id localmente. La clave nunca sale de tu navegador.
  • Autenticación sin transmisión. En lugar de enviar un hash, protocolos como OPAQUE (RFC 9807) te permiten demostrar que conoces la contraseña sin revelarla.
  • El servidor solo almacena texto cifrado. Incluso con acceso completo a la base de datos, un atacante obtiene blobs cifrados sin forma de derivar la clave.

OPAQUE: la nueva generación

OPAQUE es un protocolo de intercambio de claves autenticado por contraseña (PAKE) que va más allá de los sistemas zero-knowledge tradicionales. En un sistema estándar, el servidor aún almacena un hash (bcrypt, PBKDF2) de tu contraseña. Con OPAQUE:

  • El servidor almacena un sobre opaco — no un hash
  • Durante la autenticación, se produce un intercambio criptográfico sin que ninguna parte revele secretos
  • Incluso un volcado completo de la base de datos no revela nada utilizable sobre tu contraseña

SandPass es uno de los primeros gestores de contraseñas en implementar OPAQUE, haciéndolo resistente a ataques que comprometerían sistemas zero-knowledge tradicionales.

Qué buscar

Cuando evalúes un gestor de contraseñas, hazte estas preguntas:

  • ¿Se transmite la contraseña maestra alguna vez — aunque sea como hash?
  • ¿Podría la empresa teóricamente acceder a mis datos?
  • ¿Qué pasa si sus servidores son comprometidos?
  • ¿La pila de cifrado usa bibliotecas open-source auditadas?

Si la respuesta a las dos primeras no es un "no" rotundo, estás confiando en una política — no en las matemáticas.

Conclusión

El cifrado zero-knowledge no es un término de marketing — es una elección arquitectónica fundamental que determina si tu seguridad depende de las promesas de una empresa o de garantías criptográficas. En un mundo de filtraciones constantes, elige las matemáticas en lugar de la confianza.