Gestores de contraseñas podrían no ser tan seguros

Gestores de contraseñas

Muchas personas se preguntan si los gestores de contraseñas son realmente seguros. En base a un reciente estudio de seguridad, todo indica que no. 

Al parecer, no basta con tener una «caja fuerte digital», ya que un simple clic en una página web maliciosa podría ser suficiente para comprometer tus credenciales, incluso sin que te des cuenta.

De hecho, la investigación presentada por el experto Marek Tóth en la prestigiosa conferencia DEF CON 33, no se centró en la vulnerabilidad de las aplicaciones en sí, sino en las extensiones de navegador que usamos a diario. 

La técnica, documentada y probada, demostró que es posible manipular estas extensiones para que, al autocompletar formularios, filtren información crítica sin que el usuario lo perciba.

¿Cómo funcionan estos ataques silenciosos contra los gestores de contraseñas?

La clave está en el DOM (Document Object Model), la estructura que organiza una página web. Según el informe, los atacantes ocultan los elementos que la extensión inserta en la página para que el autocompletado se active de forma invisible. 

Con cambios mínimos de opacidad o superposición, el usuario hace clic sin saber que está autorizando la exposición de sus datos.

Dicho ataque es particularmente peligroso porque puede aprovechar vulnerabilidades en páginas legítimas. Si un sitio de confianza tiene un fallo de seguridad, un atacante podría capturar tus credenciales de inicio de sesión sin necesidad de crear una web trampa.

Cómo protegerse de estos ataques silenciosos

La investigación arrojó vulnerabilidades en populares gestores de contraseñas como 1Password, Bitwarden, LastPass y iCloud Passwords, entre otros. 

Ahora, sabiendo que algunas compañías como Bitwarden, NordPass y Dashlane ya han actuado, otras han clasificado el fallo como «informativo», sin cambios inmediatos.

Mientras los desarrolladores trabajan en soluciones, hay medidas que puedes tomar para protegerte:

  • Desactiva el autocompletado: Opta por el método manual de copiar y pegar contraseñas.
  • Configura el relleno automático: Limítate a coincidencias exactas de URL.
  • Usa la extensión con precaución: En navegadores basados en Chromium, configura el acceso a la extensión en «al hacer clic».

En fin, la seguridad en línea es una responsabilidad compartida, por consiguiente, deberás mantenerte informado y tomar precauciones para proteger tus datos de estas nuevas amenazas.

Otros artículos interesantes: 

(S.M.C)

¡Haz clic para puntuar esta entrada!
(Votos: 1 Promedio: 5)
Etiquetas: , , ,