ESET alerta que los ciberdelincuentes intentan descifrar las claves maestras y analiza cómo mantener a salvo los datos de acceso.
Un estudio de 2024 revela que un usuario de internet administra en promedio 168 contraseñas para sus cuentas personales, un 68% más que hace cuatro años. Ante los riesgos de reutilizar credenciales o emplear contraseñas fáciles de adivinar, cada vez más personas recurren a gestores de contraseñas para almacenar claves largas, seguras y únicas. Sin embargo, ESET, compañía líder en detección proactiva de amenazas, advierte que estas herramientas se han convertido en un objetivo atractivo para los ciberdelincuentes y comparte seis riesgos potenciales, además de recomendaciones para mitigarlos.
Con acceso a las credenciales almacenadas en un gestor, un atacante puede secuestrar cuentas, realizar fraude de identidad o vender accesos a terceros. Por eso buscan constantemente nuevas formas de comprometer estas plataformas.
Seis problemas de seguridad a tener en cuenta
1. Compromiso de la contraseña maestra
Si los atacantes logran obtener la contraseña maestra, obtienen acceso total al gestor. Esto puede ocurrir mediante ataques de fuerza bruta, explotación de vulnerabilidades del software o técnicas de phishing que engañan al usuario para que entregue su información.
2. Anuncios de phishing/estafa
Los ciberdelincuentes difunden anuncios maliciosos en resultados de búsqueda que redirigen a sitios falsos, diseñados para robar la dirección de correo, la contraseña maestra y la clave secreta. Estos dominios suelen imitar a los legítimos, como “the1password[.]com” en lugar de “1password.com” o “appbitwarden[.]com” en vez de “bitwarden.com”. Las páginas fraudulentas replican la apariencia del inicio de sesión original para obtener accesos críticos.
3. Malware para robar contraseñas
Algunas campañas maliciosas desarrollan código especializado para robar credenciales de gestores de contraseñas. El equipo de investigación de ESET identificó recientemente un caso atribuido a un grupo norcoreano —campaña DeceptiveDevelopment— que utilizó el malware InvisibleFerret, capaz de extraer datos desde extensiones de navegador y gestores como 1Password o Dashlane mediante canales como Telegram y FTP. El ataque se disfrazaba de un proceso de entrevista laboral, pero un malware similar podría propagarse también por correo, SMS o redes sociales.
4. Brechas en proveedores de gestores de contraseñas
Aunque estas empresas invierten fuertemente en seguridad, no están exentas de incidentes. En 2022, ciberdelincuentes comprometieron el equipo de un ingeniero de LastPass, accedieron al entorno de desarrollo y robaron código fuente y documentos técnicos, lo que les permitió obtener copias de seguridad con datos de los clientes. Aunque las contraseñas estaban cifradas, algunos registros pudieron ser forzados, lo que habría derivado en un robo masivo de criptomonedas valorado en unos 150 millones de dólares.
5. Aplicaciones falsas de gestión de contraseñas
La popularidad de estas herramientas también da pie a aplicaciones fraudulentas que roban la contraseña maestra o instalan malware en el dispositivo. Incluso la App Store de Apple ha llegado a alojar aplicaciones maliciosas de este tipo. Su objetivo es obtener información sensible o desplegar código capaz de extraer datos.
6. Explotación de vulnerabilidades
Como cualquier software, los gestores de contraseñas pueden contener fallos. Si un atacante los descubre, podría obtener credenciales almacenadas. También pueden aprovechar vulnerabilidades en complementos del navegador o en sistemas operativos para robar contraseñas e incluso códigos de autenticación de dos factores (2FA). Cuantos más dispositivos tengan instalado el gestor, mayor será la superficie de ataque.
Cómo protegerse según ESET
- Usa una frase de contraseña maestra segura, larga y única, idealmente compuesta por varias palabras memorables separadas por guiones.
- Activa siempre la autenticación en dos pasos (2FA) para reforzar la protección.
- Mantén actualizados el navegador, el gestor de contraseñas y el sistema operativo para reducir la exposición a vulnerabilidades.
- Descarga aplicaciones solo desde tiendas oficiales (Google Play, App Store) y verifica el desarrollador y las reseñas antes de instalarlas.
- Elige un gestor de contraseñas confiable, de un proveedor reconocido.
- Instala software de seguridad de un proveedor de confianza en todos tus dispositivos para mitigar malware diseñado para robar contraseñas.
“Los gestores de contraseñas siguen siendo una parte clave de las mejores prácticas de ciberseguridad, pero sólo si se toman precauciones adicionales. Las amenazas evolucionan constantemente, así que mantenerse informado es esencial para garantizar que tus credenciales permanezcan protegidas”, señala Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Publicar un comentario