Aunque facilitan la vida digital, los gestores de contraseñas son blanco de ciberdelincuentes. ESET identifica 6 riesgos clave y ofrece consejos para mantener a salvo tus contraseñas.
En la era digital actual, mantener la seguridad de nuestras cuentas en línea se ha convertido en una tarea compleja. Según un estudio de 2024, un usuario promedio de internet maneja aproximadamente 168 contraseñas para sus cuentas personales, lo que representa un significativo incremento del 68% en comparación con lo registrado cuatro años antes. Ante la dificultad de recordar claves únicas, largas y seguras para cada servicio, los gestores de contraseñas se han establecido como una solución fundamental de ciberseguridad.
No obstante, esta herramienta, diseñada para protegernos, se ha convertido irónicamente en un objetivo prioritario para los actores de amenazas. Si un ciberdelincuente logra acceder a las credenciales almacenadas en un gestor, podría secuestrar cuentas, cometer fraude de identidad o incluso vender los accesos y contraseñas a terceros. Por ello, la compañía Eset, líder en detección proactiva de amenazas, ha compartido una alerta sobre seis riesgos potenciales y algunas estrategias clave para mitigarlos.
Los 6 peligros de seguridad a los que debes prestar atención
1. Compromiso de la contraseña maestra:
La clave maestra es la llave de todo el almacén de contraseñas. Si esta es comprometida, el ciberdelincuente obtiene acceso total a la cuenta. Los métodos de ataque incluyen:
- Ataques de «fuerza bruta» mediante herramientas automatizadas que prueban repetidamente diferentes combinaciones.
- Explotación de vulnerabilidades en el software del gestor.
- Páginas de phishing diseñadas para engañar al usuario y que entregue su información.
2. Anuncios de Phishing y estafa:
Los delincuentes publican anuncios maliciosos en buscadores (como Google) que dirigen a sitios web falsos. Estos sitios imitan la apariencia de los gestores legítimos (por ejemplo, usando dominios como «the1password[.]com» en lugar del original «1password.com») con el único fin de robar la dirección de correo electrónico, la contraseña maestra y la clave secreta del usuario.
3. Malware para robar contraseñas:
El ingenio de los ciberdelincuentes ha llevado al desarrollo de malware específico para sustraer credenciales directamente de los gestores. Un ejemplo reciente, descubierto por el equipo de Eset, es el malware InvisibleFerret de una campaña patrocinada por el estado norcoreano, que contenía un comando capaz de filtrar datos de extensiones de navegador y gestores como 1Password y Dashlane. Este malware puede propagarse a través de archivos descargados (como en el caso de una falsa entrevista de trabajo), correo electrónico, mensajes de texto o redes sociales.
4. Brechas en el proveedor del gestor:
Aunque los proveedores invierten muchos recursos para asegurar sus entornos, no son inmunes a los ataques. Un incidente conocido ocurrió en 2022, cuando ladrones digitales comprometieron el equipo de un ingeniero de LastPass. Esto les permitió robar código fuente, documentos técnicos con credenciales y, finalmente, acceder a copias de seguridad de datos de clientes. La información robada incluía datos personales, información de cuentas, URL de sitios web, nombres de usuario y contraseñas cifradas, lo que permitió un robo masivo de criptomonedas estimado en 150 millones de dólares.
5. Aplicaciones falsas de gestión de contraseñas:
Aprovechando la popularidad, los ciberdelincuentes crean aplicaciones falsas con el objetivo de robar la clave maestra o instalar malware que robe información del dispositivo. Incluso tiendas de aplicaciones que suelen ser seguras, como la App Store de Apple, han permitido en ocasiones que los usuarios descarguen estas aplicaciones maliciosas.
6. Explotación de vulnerabilidades:
Los gestores de contraseñas, al ser software escrito por humanos, son susceptibles de contener errores o vulnerabilidades. Si un atacante encuentra y explota uno de estos fallos, puede obtener las credenciales del almacén. Las vulnerabilidades también pueden ser aprovechadas en los complementos de navegador de los gestores para robar credenciales o incluso códigos de autenticación de dos factores (2FA). Cuantos más dispositivos tengan descargado el gestor, mayores serán las oportunidades para los delincuentes.
Recomendaciones esenciales para una mayor protección
Para mitigar estos riesgos, Eset ha emitido una serie de consejos prácticos:
- Contraseña Maestra Blindada: Se debe utilizar una frase de contraseña maestra segura, larga y única, preferiblemente una que contenga cuatro palabras memorables separadas por guiones. Esto dificultará significativamente los ataques de «fuerza bruta».
- Activar la Autenticación de Dos Factores (2FA): Al aumentar la seguridad de las cuentas con 2FA, los hackers, aunque obtengan la contraseña, no podrán acceder sin el segundo factor de verificación.
- Mantener Todo Actualizado: Es crucial mantener al día los navegadores, los gestores de contraseñas y los sistemas operativos para reducir las posibilidades de explotación de vulnerabilidades.
- Descargar con Cuidado: Solo se deben descargar aplicaciones desde tiendas legítimas (Google Play o App Store) y siempre verificar el desarrollador y la calificación de la aplicación antes de instalarla.
- Software de Seguridad Confiable: Instalar un software de seguridad de un proveedor de confianza en todos los dispositivos ayuda a mitigar las amenazas diseñadas para robar contraseñas directamente del gestor.
- Elegir un Proveedor de Confianza: Seleccionar un gestor de contraseñas de un proveedor que inspire confianza y comparar opciones es fundamental.
Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de Eset Latinoamérica, subraya la importancia de esta herramienta, pero con precauciones: «Los gestores de contraseñas siguen siendo una parte clave de las mejores prácticas de ciberseguridad. Pero solo si toma precauciones adicionales. Los riesgos de seguridad evolucionan constantemente, así que mantente al día de las tendencias actuales en materia de amenazas para asegurarte de que tus credenciales en línea permanecen bajo llave”.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
