Gestores de contraseñas podrían acceder a tus datos privados a pesar de promesas
En los últimos años, los administradores de contraseñas pasaron de ser una herramienta de nicho para usuarios expertos a convertirse en un instrumento de seguridad fundamental para el público en general. En la actualidad, se estima que millones de personas, el 36% de la población que usa Internet, lo usan. No solo guardan contraseñas de finanzas y de correos electrónicos, también de claves de criptomonedas, números de tarjetas y otros datos sensibles.
Diversos administradores adoptaron el término “Conocimiento cero”, para describir el sofisticado sistema de cifrado que protege las bóvedas de datos alojadas en sus servidores. Las definiciones varían según el proveedor, pero se reducen a una promesa; que ni insisiders maliciosos o ciberdelincuentes que comprometan la nube podrían robar las bóvedas ni su contenido.
Estas garantías suenan razonables, sobre todo luego de los incidentes ocurridos con LastPass y ante la expectativa de que hackers maliciosos tengan motivos y capacidad para obtener bóvedas de objetivos de alto valor.
Gestores como Bitwarden, Dashlane y LastPass, con unos 60 millones de usuarios en conjunto, son representativos de tales afirmaciones. Bitwarden asegura que ni siquiera su equipo puede leer tus datos, aunque quisiera.
Por otro lado, Dashlane sostiene que, sin la contraseña maestra del usuario, los atacantes no pueden robar la información, incluso si se comprometen los servidores del gestor. LastPass afirma también que nadie puede acceder a los datos guardados en la bóveda de LastPass, salvo el usuario.
Sin embargo, investigaciones recientes muestran que esas promesas no siempre se cumplen, en particular cuando hay recuperaciones de cuentas o cuando las bóvedas se comparten o se organizan por grupos. Los investigadores analizaron a fondo diversos gestores de contraseñas y hallaron maneras para que alguien con control del servidor, ya sea administrativo o una intrusión, robe datos y bóvedas completas.
TIC Defense es una empresa que desarrolla herramientas y soluciones de alta tecnología con el objetivo de proteger a las organizaciones de los ataques perpetrados por hackers maliciosos. Nuestro enfoque preventivo y de respuesta rápida aumentan las defensas informáticas de tu compañía y se adaptan a sus necesidades.
De igual manera, idearon ataques que debilitan el cifrado hasta convertir el texto ya cifrado en texto claro. Las vulnerabilidades que se describen son numerosas, pero en su mayoría no son profundas en un sentido técnico, según las palabras de los investigadores.
Aún así, no se habían detectado antes, pese a más de una década de investigación académica en gestores de contraseñas y múltiples auditorías de los tres productos. Por ello, esto motiva más trabajo teórico y práctico.
Según lo explicaron en medios digitales, varios otros gestores que no analizaron con el mismo detalle probablemente compartan los mismos fallos y vulnerabilidades. El único que podía ser digno de mención era 1Password, casi todos, añadieron los especialistas, son vulnerables solo cuando se activan ciertas funciones.
Los ataques más graves, dirigidos a Bitwarden y LastPass, permiten a un cibercriminal leer o escribir el contenido de bóvedas enteras. En algunos casos, pueden explotar vulnerabilidades en los mecanismos de custodia de claves o key scrow, los cuales permiten recuperar cuentas al perder la contraseña maestra.
Otros se apoyan en la compatibilidad con versiones heredadas. En el gestor Dashlane, por ejemplo, un ataque de robo de bóveda permitió leer, pero no modificar, elementos compartidos con otros usuarios.
