Según un estudio de 2024, en promedio un usuario de internet tiene unas 168 contraseñas para sus cuentas personales, un aumento del 68% con respecto a cuatro años antes. Dados los riesgos de seguridad asociados a compartir credenciales entre cuentas y al uso de contraseñas fáciles de adivinar, la mayoría de nosotros necesitamos ayuda para gestionar estos inicios de sesión. Aquí es donde entran en juego los gestores de contraseñas: nos permiten almacenar y recordar contraseñas largas, seguras y únicas para cada una de nuestras cuentas en línea.

Sin embargo, esto no significa que estos almacenes de contraseñas sean una bala de plata o que debas bajar la guardia en Internet. Dado que contienen literalmente las claves de nuestra vida digital, también se han convertido en un objetivo popular para los ciberdelincuentes. He aquí seis riesgos potenciales y algunas ideas para mitigarlos.

6 problemas de seguridad de los gestores de contraseñas

Con acceso a las credenciales almacenadas en su gestor de contraseñas, los actores de amenazas podrían secuestrar sus cuentas para cometer fraude de identidad, o vender accesos/contraseñas a otros. Por eso siempre están buscando nuevas formas de atacar. Estos son 6 problemas a los que prestar atención especialmente:

1. Compromiso de tu contraseña maestra

Podría parecer bueno que, con una contraseña única y fácil de recordar, puedes acceder al almacén de todas tus credenciales online. Sin embargo, el problema de este método es que, si los ciberdelincuentes consiguen hacerse de esa contraseña maestra, obtendrán el mismo nivel de acceso. Por ejemplo, mediante un ataque de “fuerza bruta” en el que utilizan herramientas automatizadas para probar diferentes contraseñas repetidamente, la explotación de vulnerabilidades del software de gestión de contraseñas, o páginas de phishing con las que engañan a los usuarios para que engañados entreguen su información.

2. Anuncios de phishing/estafa

Hemos observado cómo los actores de amenazas publican anuncios maliciosos en la búsqueda de Google diseñados para atraer a las víctimas a sitios falsos que recopilan su dirección de correo electrónico, contraseña maestra y clave secreta. Estos anuncios parecen legítimos, y enlazan a páginas falsas con dominios que intentan falsificar a la auténtica Por ejemplo, un dominio puede ser “the1password[.]com” o “app1password[.]com”, en lugar del original “1password.com, o “appbitwarden[.com” en lugar de “bitwarden.com”. Si haces clic en una página de este tipo, accederás a una página de inicio de sesión de aspecto legítimo diseñada para robarte todos los inicios de sesión importantes del gestor de contraseñas.

3. Malware para robar contraseñas

En el ingenio que aplican los ciberdelincuentes, algunos han desarrollado malware para robar credenciales de los gestores de contraseñas de las víctimas. Por ejemplo, los investigadores de ESET descubrieron recientemente un intento de este tipo por parte de una campaña patrocinada por el estado norcoreano apodada DeceptiveDevelopment, que encontró el malware InvisibleFerret, que incluía un comando backdoor capaz de filtrar datos tanto de extensiones de navegador como de gestores de contraseñas a través de Telegram y FTP. Entre los gestores de contraseñas atacados se encontraban 1Password y Dashlane.

En este caso concreto, el malware estaba oculto en archivos descargados por la víctima como parte de un elaborado proceso de falsa entrevista de trabajo. Pero no hay razón por la que un código malicioso con propiedades similares no pueda propagarse de otras formas, como por correo electrónico, mensajes de texto o redes sociales.

4. La brecha de un proveedor de gestores de contraseñas

Los proveedores de gestores de contraseñas saben que son uno de los principales objetivos de las amenazas. Por eso dedican mucho tiempo y recursos a hacer que sus entornos informáticos sean lo más seguros posible. Pero solo tienen que cometer un error para dejar entrar a los malos. En 2022, LastPass se encontró en el peor de los casos. Los ladrones digitales comprometieron el portátil de un ingeniero de LastPass para acceder al entorno de desarrollo de la empresa. Allí robaron código fuente y documentos técnicos que contenían credenciales, lo que les permitió acceder a las copias de seguridad de los datos de los clientes.

Esto incluía información personal y de cuentas de clientes, que podría utilizarse para ataques de phishing posteriores. Una lista de todas las URL de los sitios web de sus almacenes. Y los nombres de usuario y contraseñas de todos los clientes. Aunque estaban cifrados, el pirata informático pudo “forzarlos” (como ya se ha dicho). Se cree que esto dio lugar a un robo masivo de criptomonedas por valor de 150 millones de dólares y es una advertencia de que incluso los vendedores mejor protegidos pueden verse vulnerados.

5. Aplicaciones falsas de gestión de contraseñas

A veces, los ciberdelincuentes se aprovechan de la popularidad de los gestores de contraseñas para intentar robar contraseñas y propagar malware a través de aplicaciones falsas. Incluso la App Store de Apple, normalmente segura, permitió el año pasado que los usuarios descargaran una de estas aplicaciones maliciosas de gestión de contraseñas. Estas amenazas suelen estar diseñadas para robar la importantísima contraseña maestra o descargar malware que roba información en el dispositivo del usuario.

6. Explotación de vulnerabilidades

Los gestores de contraseñas no son más que software. Y el software, al estar escrito (en su mayoría) por humanos, contiene inevitablemente vulnerabilidades. Si un ciberdelincuente se las arregla para encontrar y explotar uno de estos errores, puede ser capaz de obtener credenciales de su almacén de contraseñas. También podrían aprovecharse de las vulnerabilidades de los complementos de los gestores de contraseñas de los navegadores web para robar credenciales e incluso códigos de autenticación de dos factores (2FA). O podrían atacar los sistemas operativos de los dispositivos para hacer lo mismo. Cuantos más dispositivos tengan descargado el gestor de contraseñas, más oportunidades tendrán de hacerlo.

Cómo proteger el uso del gestor de contraseñas

Para protegerse de las amenazas mencionadas, tenga en cuenta lo siguiente:

  • Piensa en una frase de contraseña maestra segura, larga y única. Piense en cuatro palabras memorables separadas por guiones. Así será más difícil que un atacante pueda “forzarla”.
  • Aumenta siempre la seguridad de tus cuentas activando el 2FA. Esto significa que aunque los piratas informáticos se hagan con tus contraseñas, no podrán acceder a tus cuentas sin el segundo factor.
  • Mantenga actualizados los navegadores, los gestores de contraseñas y los sistemas operativos para que tengan las versiones más seguras. Así se reducen las posibilidades de explotar vulnerabilidades.
  • Descarga únicamente aplicaciones de una tienda de aplicaciones legítima (Google Play, App Store) y comprueba el desarrollador y la calificación de la aplicación antes de hacerlo, por si se tratara de aplicaciones falsas o maliciosas.
  • Elige solo un gestor de contraseñas de un proveedor de confianza. Compara precios hasta que encuentres uno con el que te sientas cómodo.
  • Asegúrate de instalar software de seguridad de un proveedor de confianza en todos los dispositivos, para mitigar la amenaza de ataques diseñados para robar contraseñas directamente de tu gestor de contraseñas.

Los gestores de contraseñas siguen siendo una parte clave de las mejores prácticas de ciberseguridad. Pero solo si toma precauciones adicionales. Los riesgos de seguridad evolucionan constantemente, así que mantente al día de las tendencias actuales en materia de amenazas para asegurarte de que tus credenciales en línea permanecen bajo llave.