Bitwarden, LastPass y Dashlane son menos seguros de lo que piensas, al menos si sigues las instrucciones. hallazgos de investigadores de seguridad en ETH Zurich y en la Università della Svizzera italiana (USI) en Lugano.
Supuestamente descubrieron graves vulnerabilidades de seguridad en estos populares administradores de contraseñas. “En las pruebas, pudieron ver e incluso cambiar las contraseñas almacenadas”, escribe el editor (traducido automáticamente).
¿Por qué son vulnerables?
Muchos administradores de contraseñas almacenan contraseñas cifradas en la nube. La ventaja de esto es que puedes acceder a tus contraseñas en todos tus dispositivos, sin importar dónde te encuentres. Lo importante es que tus contraseñas estén cifradolo que garantiza que estas contraseñas estén seguras contra el acceso no autorizado. Incluso si los piratas informáticos obtienen acceso a los servidores del administrador de contraseñas, el cifrado los detendrá.
Pero los investigadores de seguridad suizos encontraron vulnerabilidades en los populares administradores de contraseñas Bitwarden, LastPass y Dashlane: “[The researchers’] Los ataques abarcaron desde violaciones de la integridad de las bóvedas de los usuarios objetivo hasta el compromiso total de todas las bóvedas dentro de una organización que utiliza el servicio. En la mayoría de los casos, los investigadores pudieron acceder a las contraseñas e incluso manipularlas”.
Los investigadores demostraron 12 ataques a Bitwarden, 7 a LastPass y 6 a Dashlane. Para ello, configuraron sus propios servidores que se comportaban como un servidor administrador de contraseñas pirateado. Luego, los investigadores comenzaron “interacciones simples que los usuarios o sus navegadores realizan rutinariamente cuando usan el administrador de contraseñas, como iniciar sesión en la cuenta, abrir la bóveda, ver contraseñas o sincronizar datos”.
Los investigadores encontraron “arquitecturas de código muy extrañas” que probablemente se crearon porque las empresas intentaban “ofrecer a sus clientes el servicio más fácil de usar posible, por ejemplo, la capacidad de recuperar contraseñas o compartir sus cuentas con miembros de la familia”.
Esto no sólo hace que las arquitecturas de código sean más complejas y confusas, sino que termina aumentando la cantidad de posibles puntos de ataque para los piratas informáticos. Los investigadores de seguridad advierten: “Estos ataques no requieren computadoras ni servidores particularmente potentes, sólo pequeños programas que pueden falsificar la identidad del servidor”.
Antes de publicar sus hallazgos, los investigadores informaron a cada administrador de contraseñas para que tuvieran tiempo suficiente para corregir las fallas. Todos respondieron positivamente, pero no todos corrigieron los defectos a la misma velocidad.
Los métodos de cifrado obsoletos son los culpables
Según los investigadores, la razón de las vulnerabilidades es obvia: “Las conversaciones con los desarrolladores de administradores de contraseñas revelaron su renuencia a publicar actualizaciones del sistema, por temor a que sus clientes pudieran perder el acceso a sus contraseñas y otros datos personales. Entre estos clientes se incluyen millones de individuos y miles de empresas que confían toda su gestión de contraseñas a estos proveedores. Se pueden imaginar las consecuencias de perder repentinamente el acceso a sus datos. Por eso, muchos proveedores se aferran a las tecnologías criptográficas de los años 90, aunque ya estén obsoletas”.
La única solución a este dilema es que todos los administradores de contraseñas estén actualizados criptográficamente, al menos para los nuevos clientes. Los clientes existentes podrían entonces decidir por sí mismos “si quieren migrar al nuevo sistema más seguro y transferir allí sus contraseñas, o si quieren permanecer con el sistema antiguo, conscientes de las vulnerabilidades de seguridad existentes”.
¿Qué deberías hacer?
Los investigadores nos aseguran que no existe un peligro inmediato y dicen que “no hay razón para creer que los proveedores de administradores de contraseñas sean actualmente maliciosos o estén comprometidos, y mientras esto siga siendo así, sus contraseñas estarán seguras. Sin embargo, los administradores de contraseñas son objetivos de alto perfil y se producen violaciones de seguridad”.
Cualquiera que esté considerando un administrador de contraseñas debe elegir un administrador de contraseñas “que revele abiertamente posibles vulnerabilidades de seguridad, sea auditado externamente y tenga el cifrado de extremo a extremo habilitado de forma predeterminada”.
Lectura adicional: Los mejores administradores de contraseñas, revisados
