En esta publicación, vamos a ver cómo los ciberdelincuentes podrían descifrar nuestra bóveda y cómo podemos mantener a salvo nuestros datos de acceso, analizando diferentes técnicas de hacking utilizadas en la actualidad, como el phishing y los ataques de fuerza bruta. Además, exploraremos las mejores prácticas para proteger nuestra información sensible, puesto que la seguridad de nuestros datos es esencial en un mundo donde la información es un recurso muy valioso.
Según el estudio publicado en 2024, un usuario tiene una media de unas 168 contraseñas para sus cuentas personales, lo que indica un aumento del 68% con respecto a años anteriores. Teniendo en cuenta los riesgos de seguridad asociados a compartir credenciales entre cuentas y al uso de contraseñas fáciles de adivinar, la mayoría necesitamos una ayuda para gestionar los inicios de sesión. Aquí es donde entran en juego los gestores de contraseñas: apps o extensiones que nos permiten almacenar y recordar contraseñas largas, seguras y únicas para cada una de nuestras cuentas en línea.
Sin embargo, esto no significa que dichos almacenes de contraseñas sean una solución infalible o que debamos bajar la guardia en Internet con su uso. En una publicación anterior ya hablamos sobre ellos, pero no está de más profundizar sobre un tema que nos puede ocasionar graves problemas, teniendo en cuenta que contienen literalmente las claves de nuestra vida digital. Por esta razón, se han convertido en un objetivo muy atractivo para los ciberdelincuentes. Vamos a repasar los riesgos potenciales y algunas ideas para mitigarlos.
Riesgos para la seguridad de los gestores de contraseñas
Mediante el acceso a las credenciales almacenadas en nuestro gestor de contraseñas, los actores maliciosos podrían secuestrar nuestras cuentas para cometer una suplantación de identidad o vender las contraseñas a terceros. Por ello, siempre están buscando nuevas formas de atacar. Estas son algunas de las situaciones a las que debemos prestar atención:
1. Compromiso de nuestra contraseña maestra
Nos puede parecer conveniente que, mediante una contraseña única y fácil de recordar, podamos acceder al almacén de todas nuestras credenciales online. Pero, el problema de usar este método radica en que, si los ciberdelincuentes consiguen hacerse con esa contraseña maestra, obtendrán el mismo nivel de acceso. Por ejemplo, mediante un ataque de “fuerza bruta” en el que se utilizan herramientas automatizadas para probar diferentes contraseñas repetidamente, la explotación de vulnerabilidades del software de gestión de contraseñas o técnicas de phishing con las que engañan a los usuarios para que entreguen su información.
2. Estafas mediante phishing
Los actores de amenazas, publican anuncios maliciosos en la búsqueda de Google, diseñados para atraer a sus víctimas a sitios falsos, que recopilan su dirección de correo electrónico y contraseñas. Los anuncios parecen legítimos, incluso aparecen entre los primeros resultados de la búsqueda, pero enlazan a páginas falsas con dominios que intentan suplantar a las auténticas. Por ejemplo, un dominio puede aparecer nombrado como “the1password[.]com” o “app1password[.]com”, en lugar del original “1password.com, o del mismo modo “appbitwarden[.]com”, en lugar de “bitwarden.com”. Si hacemos clic en una página de este tipo, accederemos a una página de inicio de sesión de igual aspecto, diseñada para robarnos las credenciales de inicio de sesión del gestor de contraseñas.
3. Malware para el robo de contraseñas
Mediante el uso del ingenio, los ciberdelincuentes han desarrollado malware para el robo de credenciales de los gestores de contraseñas de sus víctimas. Por ejemplo, investigadores de ESET descubrieron recientemente un intento de este tipo, mediante una campaña patrocinada por el estado norcoreano, denominada DeceptiveDevelopment, que mediante el uso del malware InvisibleFerret, incluía un comando backdoor (de puerta trasera) capaz de filtrar datos tanto de las extensiones del navegador, como de los gestores de contraseñas a través de Telegram y FTP. Entre los gestores de contraseñas atacados se encontraban 1Password y Dashlane.
En este caso, dicho malware se encontraba oculto en archivos descargados por la víctima como parte de un elaborado proceso de una falsa entrevista de trabajo. Pero, el código malicioso con propiedades similares, puede propagarse de otras formas, mediante correo electrónico, mensajes de texto o redes sociales, por ejemplo.
4. Brecha en un proveedor de gestores de contraseñas
Los proveedores de gestores de contraseñas, son conscientes de que son uno de los principales objetivos de las amenazas. Por ello, dedican tiempo y recursos para hacer que sus entornos informáticos sean lo más seguros posible. Pero, sólo tienen que cometer un error para dejar la puerta abierta a los atacantes. En el año 2022, LastPass se encontró en el peor de los casos. Los ciberdelincuentes comprometieron el ordenador portátil de un ingeniero de LastPass, para así acceder al entorno de desarrollo de la empresa. Una vez dentro, robaron código fuente y documentos técnicos que contenían credenciales, lo que les permitió acceder a copias de seguridad de los datos de sus clientes.
El botín incluía información personal y datos de cuentas de clientes, que podrían utilizarse para ataques de phishing. Una lista de todas las URL de los sitios web de sus almacenes. Nombres de usuario y contraseñas de todos los clientes. Pese a que estaban cifrados, pudieron descifrarlos mediante el uso de fuerza bruta. Ello dio lugar a un robo masivo de criptomonedas, por un valor de 150 millones de dólares y es tan sólo una advertencia de que los vendedores mejor protegidos pueden verse vulnerados.
5. Falsas aplicaciones de gestión de contraseñas
En ocasiones, los ciberdelincuentes se aprovechan de la popularidad de los gestores de contraseñas, para intentar robar contraseñas y propagar malware a través de falsas aplicaciones que las emulan. Incluso la App Store de Apple, considerada como segura, permitió el año pasado que los usuarios se descargaran una de estas aplicaciones maliciosas de gestión de contraseñas. Estas amenazas, están diseñadas para robar la preciada contraseña o descargar malware que robe información en el dispositivo del usuario.
6. Explotación de vulnerabilidades
Los gestores de contraseñas no dejan de ser más que una aplicación. Por lo tanto, el software, al estar desarrollado en la mayoría de casos por humanos, puede estar expuesto a vulnerabilidades. Si un ciberdelincuente consigue encontrar y explotar una de estas vulnerabilidades, puede obtener credenciales de su almacén de contraseñas. También podría aprovecharse de las vulnerabilidades de los complementos de los gestores de contraseñas de los navegadores web para robar credenciales e incluso códigos de autenticación de dos factores (2FA). O también, podrían atacar los sistemas operativos de los dispositivos para hacer lo mismo. Cuantos más dispositivos tengan descargado el gestor de contraseñas, más oportunidades de éxito tendrán.
¿Cómo proteger el uso de los gestores de contraseñas?
Para protegernos de las amenazas mencionadas anteriormente, debemos tener en cuenta lo siguiente:
- Pensar en una contraseña segura, larga y única. Pensar en cuatro palabras memorables, separadas por guiones y agregando caracteres únicos en nuestro idioma, hará más difícil que un atacante pueda “forzarla”.
- Mejorar siempre la seguridad de nuestras cuentas activando el 2FA. Ello significa que, aunque los ciberdelincuentes se hagan con nuestras contraseñas, no podrán acceder a las cuentas sin el segundo factor.
- Mantener actualizados los navegadores, los gestores de contraseñas y los sistemas operativos. De esta forma, contarán con las versiones más seguras. Así, se reducirán las posibilidades de explotar algunas vulnerabilidades.
- Descargar únicamente aplicaciones de una tienda legítima (como Google Play o App Store). Deberemos comprobar el desarrollador y la calificación de la aplicación antes de hacerlo, por si se tratase de aplicaciones falsas o maliciosas.
- Elegir sólo un gestor de contraseñas de un proveedor de confianza. Comparando precios o reseñas, hasta que encontremos uno que nos convenza realmente.
- Debemos asegurarnos de instalar software de seguridad de un proveedor de confianza en todos los dispositivos. De esta forma mitigaremos la amenaza de ataques orientados a robar contraseñas directamente de nuestro gestor de contraseñas.
Los gestores de contraseñas siguen siendo una parte clave de las mejores prácticas de ciberseguridad, gracias a su capacidad para generar y almacenar contraseñas complejas de manera segura. Sin embargo, su eficacia depende en gran medida de las precauciones adicionales que tomemos para proteger nuestros datos.
Es fundamental, utilizar la autenticación de dos factores siempre que sea posible y asegurarnos de que nuestros dispositivos dispongan de las últimas actualizaciones de seguridad. Los riesgos de seguridad evolucionan constantemente, por lo que debemos mantenernos al día informados sobre las tendencias actuales en materia de amenazas y aprender sobre las nuevas técnicas que utilizan los ciberdelincuentes.
«Sólo así, podremos asegurarnos de que nuestras credenciales de acceso y nuestra información personal, esté protegida contra accesos no autorizados».
STI 2020 ® 
Deja un comentario