Según un estudio de 2024, un usuario de internet tiene en promedio unas 168 contraseñas para sus cuentas personales, un aumento del 68% con respecto a cuatro años antes. Debido a los riesgos de seguridad asociados al uso de contraseñas fáciles de adivinar o a compartir credenciales entre cuentas, la mayoría de usuarios recurre a gestores de contraseñas que permiten almacenar y recordar claves largas, seguras y únicas para cada una de sus cuentas en línea.
En este contexto, la compañía líder en detección proactiva de amenazas, ESET, advierte que estos servicios se han convertido en un objetivo frecuente de los ciberdelincuentes y comparte seis riesgos potenciales, junto con recomendaciones para mitigarlos.
Con acceso a las credenciales almacenadas en un gestor de contraseñas, los actores de amenazas podrían secuestrar cuentas para cometer fraude de identidad o vender accesos a terceros. Por ello buscan constantemente nuevas formas de ataque.
Seis problemas a los que prestar atención
1. Compromiso de la contraseña maestra. Si los ciberdelincuentes obtienen la contraseña maestra, lograrán acceso total a la cuenta. Esto puede suceder mediante ataques de fuerza bruta, explotación de vulnerabilidades del software del gestor o por medio de páginas de phishing que engañan a los usuarios para entregar su información.
2. Anuncios de phishing o estafa. Algunos actores maliciosos publican anuncios manipulados en motores de búsqueda para atraer a víctimas hacia sitios falsos que recopilan direcciones de correo electrónico, contraseñas maestras y claves secretas. Estos anuncios imitan páginas legítimas e incluyen dominios muy similares, como “the1password[.]com” en lugar de “1password.com”, o “appbitwarden[.]com” en lugar de “bitwarden.com”.
3. Malware para robar contraseñas. ESET detectó una campaña patrocinada por el Estado norcoreano, denominada DeceptiveDevelopment, que utilizaba el malware InvisibleFerret, capaz de filtrar datos desde extensiones de navegador y gestores de contraseñas a través de Telegram y FTP. Entre los gestores afectados estaban 1Password y Dashlane. El código malicioso se distribuía a través de archivos usados en un falso proceso de entrevista laboral, aunque este tipo de software podría propagarse también por correo electrónico, mensajes de texto o redes sociales.
4. Brechas en proveedores de gestores de contraseñas. En 2022, delincuentes digitales comprometieron el equipo de un ingeniero de LastPass y accedieron a su entorno de desarrollo. Allí robaron código fuente y documentos técnicos con credenciales que permitieron acceder a copias de seguridad de datos de clientes. Aunque la información estaba cifrada, el atacante pudo “forzarla”, lo que habría derivado en el robo de criptomonedas valoradas en 150 millones de dólares.
5. Aplicaciones falsas de gestión de contraseñas. Los ciberdelincuentes también aprovechan la popularidad de estos servicios para distribuir aplicaciones falsas diseñadas para robar la contraseña maestra o instalar malware. Incluso la App Store permitió el año pasado una aplicación maliciosa de este tipo.
6. Explotación de vulnerabilidades. Como todo software, los gestores de contraseñas pueden contener fallas. Si un atacante detecta y explota una vulnerabilidad, podría obtener credenciales almacenadas. También pueden aprovechar fallas en extensiones de navegador o sistemas operativos. Cuantos más dispositivos tengan instalado el gestor, más oportunidades existen para atacar.
Recomendaciones de los expertos
• Elabora una frase de contraseña maestra segura, larga y única, compuesta por cuatro palabras memorables separadas por guiones.• Activa siempre la autenticación de dos factores (2FA).• Mantén actualizados navegadores, gestores de contraseñas y sistemas operativos.• Descarga aplicaciones solo desde tiendas oficiales y verifica el desarrollador y su calificación.• Elige un gestor de contraseñas de un proveedor confiable.• Instala un software de seguridad de confianza en todos los dispositivos.
“Los gestores de contraseñas siguen siendo una parte clave de las mejores prácticas de ciberseguridad. Pero solo si toma precauciones adicionales. Los riesgos de seguridad evolucionan constantemente, así que mantente al día de las tendencias actuales en materia de amenazas para asegurarte de que tus credenciales en línea permanecen bajo llave”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
