Según un estudio de 2024, en promedio un usuario de internet tiene unas 168 contraseñas para sus cuentas personales, un aumento del 68% con respecto a cuatro años antes.
Dados los riesgos de seguridad asociados a compartir credenciales entre cuentas y al uso de contraseñas fáciles de adivinar, la mayoría de los usuarios utilizan gestores de contraseñas que permiten almacenar y recordar contraseñas largas, seguras y únicas para cada una de las cuentas en línea.
En este contexto, ESET advierte que los mismos se han convertido en un objetivo popular para los ciberdelincuentes y comparte seis riesgos potenciales y algunas ideas para mitigarlos.
Con acceso a las credenciales almacenadas en un gestor de contraseñas, los actores de amenazas podrían secuestrar sus cuentas para cometer fraude de identidad, o vender accesos y contraseñas a otros.
Por eso siempre están buscando nuevas formas de atacar.
Principales problemas de seguridad
Compromiso de la contraseña maestra: Si los ciberdelincuentes consiguen hacerse de esa contraseña maestra, obtendrán un acceso total a la cuenta.
Por ejemplo, pueden obtenerla mediante un ataque de fuerza bruta en el que utilizan herramientas automatizadas para probar diferentes contraseñas repetidamente, a través de la explotación de vulnerabilidades del software de gestión de contraseñas, o vía páginas de phishing con las que engañan a los usuarios para que entreguen su información.
Anuncios de phishing y estafa: Los actores de amenazas publican anuncios maliciosos en búsquedas de Google diseñados para atraer a las víctimas a sitios falsos que recopilan su dirección de correo electrónico, contraseña maestra y clave secreta.
Estos anuncios parecen legítimos, y enlazan a páginas falsas con dominios que intentan falsificar a la auténtica.
Por ejemplo, un dominio puede ser «the1password[.]com» en lugar del original «1password.com», o «appbitwarden[.]com» en lugar de «bitwarden.com».
Malware para robar contraseñas: Algunos ciberdelincuentes han desarrollado malware para robar credenciales de los gestores de contraseñas de las víctimas.
Por ejemplo, el equipo de investigación de ESET descubrió recientemente un intento de este tipo por parte de una campaña patrocinada por el estado norcoreano apodada DeceptiveDevelopment, el malware InvisibleFerret que incluía un comando backdoor capaz de filtrar datos tanto de extensiones de navegador como de gestores de contraseñas a través de Telegram y FTP.
Entre los gestores de contraseñas atacados se encontraban 1Password y Dashlane.
Brechas y aplicaciones falsas
Brecha de un proveedor: Los proveedores de gestores de contraseñas saben que son uno de los principales objetivos de las amenazas.
En 2022, ladrones digitales comprometieron el equipo de un ingeniero de LastPass para acceder al entorno de desarrollo de la empresa.
Allí robaron código fuente y documentos técnicos que contenían credenciales, lo que les permitió acceder a las copias de seguridad de los datos de los clientes.
Esto incluía información personal y de cuentas de clientes, que podría utilizarse para ataques de phishing posteriores.
Se cree que esto dio lugar a un robo masivo de criptomonedas por valor de USD 150 millones.
Aplicaciones falsas: A veces, los ciberdelincuentes se aprovechan de la popularidad de los gestores de contraseñas para intentar robar contraseñas y propagar malware a través de aplicaciones falsas.
Incluso la App Store de Apple, normalmente segura, permitió el año pasado que los usuarios descargaran una de estas aplicaciones maliciosas de gestión de contraseñas.
Explotación de vulnerabilidades: Los gestores de contraseñas no son más que software, y al estar escrito en su mayoría por humanos inevitablemente contiene vulnerabilidades.
Si un ciberdelincuente se las arregla para encontrar y explotar uno de estos errores, puede ser capaz de obtener credenciales del almacén de contraseñas.
Recomendaciones de protección
ESET recomienda crear una frase de contraseña maestra segura, larga y única, activar siempre el 2FA, mantener actualizados los navegadores y sistemas operativos, descargar únicamente aplicaciones de tiendas legítimas, elegir solo un gestor de contraseñas de un proveedor de confianza e instalar software de seguridad en todos los dispositivos.
«Los gestores de contraseñas siguen siendo una parte clave de las mejores prácticas de ciberseguridad. Pero solo si toma precauciones adicionales. Los riesgos de seguridad evolucionan constantemente, así que mantente al día de las tendencias actuales en materia de amenazas para asegurarte de que tus credenciales en línea permanecen bajo llave», finalizó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
