Según un estudio de 2024, en promedio un usuario de internet tiene unas 168 contraseñas para sus cuentas personales, un aumento del 68% con respecto a cuatro años antes. Dados los riesgos de seguridad asociados a compartir credenciales entre cuentas y al uso de contraseñas fáciles de adivinar, la mayoría de los usuarios utilizan gestores de contraseñas que permiten almacenar y recordar contraseñas largas, seguras y únicas para cada una de las cuentas en línea. En este contexto, ESET, compañía líder en detección proactiva de amenazas, advierte que los mismos se han convertido en un objetivo popular para los ciberdelincuentes y comparte seis riesgos potenciales y algunas ideas para mitigarlos.
Con acceso a las credenciales almacenadas en un gestor de contraseñas, los actores de amenazas podrían secuestrar sus cuentas para cometer fraude de identidad, o vender accesos/contraseñas a otros. Por eso siempre están buscando nuevas formas de atacar.
ESET comparte 6 problemas a los que prestar atención especialmente:
1. Compromiso de la contraseña maestra: Si los ciberdelincuentes consiguen hacerse de esa contraseña maestra, obtendrán un acceso total a la cuenta. Por ejemplo, pueden obtenerla mediante un ataque de “fuerza bruta” en el que utilizan herramientas automatizadas para probar diferentes contraseñas repetidamente, a través de la explotación de vulnerabilidades del software de gestión de contraseñas, o vía páginas de phishing con las que engañan a los usuarios para que entreguen su información.
2. Anuncios de phishing/estafa: Los actores de amenazas publican anuncios maliciosos en búsquedas de Google diseñados para atraer a las víctimas a sitios falsos que recopilan su dirección de correo electrónico, contraseña maestra y clave secreta. Estos anuncios parecen legítimos, y enlazan a páginas falsas con dominios que intentan falsificar a la auténtica Por ejemplo, un dominio puede ser “the1password[.]com” en lugar del original “1password.com, o “appbitwarden[.com” en lugar de “bitwarden.com”. Al hacer clic en una página de este tipo, se accede a una página de inicio de sesión de aspecto legítimo diseñada para robar todos los inicios de sesión importantes del gestor de contraseñas.
3. Malware para robar contraseñas: En el ingenio que aplican los ciberdelincuentes, algunos han desarrollado malware para robar credenciales de los gestores de contraseñas de las víctimas. Por ejemplo, el equipo de investigación de ESET descubrió recientemente un intento de este tipo por parte de una campaña patrocinada por el estado norcoreano apodada DeceptiveDevelopment, el malware InvisibleFerret que incluía un comando backdoor capaz de filtrar datos tanto de extensiones de navegador como de gestores de contraseñas a través de Telegram y FTP. Entre los gestores de contraseñas atacados se encontraban 1Password y Dashlane. En este caso, el malware estaba oculto en archivos descargados por la víctima como parte de un elaborado proceso de falsa entrevista de trabajo. Pero no hay razón por la que un código malicioso con propiedades similares no pueda propagarse de otras formas, como por correo electrónico, mensajes de texto o redes sociales.
4. La brecha de un proveedor de gestores de contraseñas: Los proveedores de gestores de contraseñas saben que son uno de los principales objetivos de las amenazas. Por eso dedican mucho tiempo y recursos a hacer que sus entornos informáticos sean lo más seguros posible. En 2022, ladrones digitales comprometieron el equipo de un ingeniero de LastPass para acceder al entorno de desarrollo de la empresa. Allí robaron código fuente y documentos técnicos que contenían credenciales, lo que les permitió acceder a las copias de seguridad de los datos de los clientes.
Esto incluía información personal y de cuentas de clientes, que podría utilizarse para ataques de phishing posteriores. Una lista de todas las URL de los sitios web de sus almacenes. Y los nombres de usuario y contraseñas de todos los clientes. Aunque estaban cifrados, el pirata informático pudo “forzarlos”. Se cree que esto dio lugar a un robo masivo de criptomonedas por valor de 150 millones de dólares.
5. Aplicaciones falsas de gestión de contraseñas: A veces, los ciberdelincuentes se aprovechan de la popularidad de los gestores de contraseñas para intentar robar contraseñas y propagar malware a través de aplicaciones falsas. Incluso la App Store de Apple, normalmente segura, permitió el año pasado que los usuarios descargaran una de estas aplicaciones maliciosas de gestión de contraseñas. Estas amenazas suelen estar diseñadas para robar la importantísima contraseña maestra o descargar malware que roba información en el dispositivo del usuario.
6. Explotación de vulnerabilidades: Los gestores de contraseñas no son más que software, y al estar escrito (en su mayoría) por humanos inevitablemente contiene vulnerabilidades. Si un ciberdelincuente se las arregla para encontrar y explotar uno de estos errores, puede ser capaz de obtener credenciales de su almacén de contraseñas. También podrían aprovecharse de las vulnerabilidades de los complementos de los gestores de contraseñas de los navegadores web para robar credenciales e incluso códigos de autenticación de dos factores (2FA). O podrían atacar los sistemas operativos de los dispositivos para hacer lo mismo. Cuantos más dispositivos tengan descargado el gestor de contraseñas, más oportunidades tendrán de hacerlo.
Para protegerse de las amenazas mencionadas, desde ESET recomiendan tener en cuenta los siguientes puntos:
• Piensa en una frase de contraseña maestra segura, larga y única. Piense en cuatro palabras memorables separadas por guiones. Así será más difícil que un atacante pueda “forzarla”.
• Aumenta siempre la seguridad de tus cuentas activando el 2FA. Esto significa que aunque los piratas informáticos se hagan con tus contraseñas, no podrán acceder a tus cuentas sin el segundo factor.
• Mantenga actualizados los navegadores, los gestores de contraseñas y los sistemas operativos para que tengan las versiones más seguras. Así se reducen las posibilidades de explotar vulnerabilidades.
• Descarga únicamente aplicaciones de una tienda de aplicaciones legítima (Google Play, App Store) y comprueba el desarrollador y la calificación de la aplicación antes de hacerlo, por si se tratara de aplicaciones falsas o maliciosas.
• Elige solo un gestor de contraseñas de un proveedor de confianza. Compara precios hasta que encuentres uno con el que te sientas cómodo.
• Asegúrate de instalar software de seguridad de un proveedor de confianza en todos los dispositivos, para mitigar la amenaza de ataques diseñados para robar contraseñas directamente de tu gestor de contraseñas.
“Los gestores de contraseñas siguen siendo una parte clave de las mejores prácticas de ciberseguridad. Pero solo si toma precauciones adicionales. Los riesgos de seguridad evolucionan constantemente, así que mantente al día de las tendencias actuales en materia de amenazas para asegurarte de que tus credenciales en línea permanecen bajo llave”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.