Campañas de robo de contraseña, fallos de configuración o 'malware': seis riesgos críticos en gestores de contraseñas

Los gestores de contraseña se han consolidado como una de las herramientas más necesarias entre los usuarios en su día a día digital, sin embargo, también son uno de los objetivos prioritarios de los ciberdelincuentes, que los exponen a riesgos como las campañas de robo de contraseña mediante 'phishing' o 'malware' y la explotación de fallos de configuración, que dejan sus contraseñas vulnerables.

La creciente complejidad de la vida digital obliga, en la mayoría de las situaciones, a crear una cuenta personal para utilizar cualquier tipo de servicio 'online', compuesta por credenciales de nombre de usuario y contraseña.

De hecho, según un estudio de 2024 elaborado por el gestor de contraseñas NordPass, el usuario medio de Internet gestiona un 68 por ciento más de contraseñas personales que hace apenas cuatro años, con una media de 168 claves.

Esto hace que los usuarios se enfrenten a situaciones incómodas en las que se les olvidan las contraseñas y tienen que cambiarlas para acceder al servicio deseado, así como a situaciones de ciberseguridad peligrosas, dado que sus cuentas son mucho más vulnerables al depender de recordar contraseñas que habitualmente no son muy robustas.

En este sentido, los gestores de contraseñas se plantean como una solución realmente útil, dado que son herramientas que permiten crear, almacenar y recordar claves de acceso para todo tipo de servicios digitales. Además, proporcionan un nivel de seguridad mucho más elevado, con claves largas, robustas y únicas para cada servicio y cuenta.

En contraposición a su papel crítico para cualquier usuario, los gestores de contraseñas también se han vuelto uno de los principales objetivos de los ciberdelincuentes, que los ven como un suculento cofre del tesoro y tratan de abrirlo mediante campañas específicas de robo de contraseña maestra, aprovechando fallos de configuración o a través de ataques de 'malware'.

Como resultado, en caso de que los atacantes consigan acceder a las credenciales almacenadas en un gestor de contraseñas, pueden utilizarlas para cometer fraudes de identidad, acceder a determinados servicios para sacar rédito o vender el acceso a dicho gestor de contraseñas y, con ello, las contraseñas a terceros, entre otras consecuencias.

Teniendo todo ello en cuenta, los usuarios deben estar pendientes de algunas cuestiones críticas al usar sus gestores de contraseñas, para protegerlos frente a los ataques de los actores maliciosos, con hasta seis riesgos de seguridad identificados por la compañía de ciberseguridad ESET.

En primer lugar, uno de los principales riesgos que tienen los gestores de contraseñas es el robo de la contraseña maestra, que debe evitarse a toda costa. Esto se debe a que la fortaleza de estos sistemas reside, precisamente, en su accesibilidad mediante una única clave maestra.

Como han explicado desde ESET, si esta clave se ve comprometida, ya sea por ataques de fuerza bruta, vulnerabilidades del 'software' o mediante páginas de 'phishing', "los atacantes obtienen acceso directo a todas las credenciales del usuario". Es decir, han conseguido abrir el cofre del tesoro.

Al hilo, el 'phishing' y los anuncios fraudulentos se convierten en otro de los principales riesgos a los que se enfrentan los usuarios, dado que los ciberdelincuentes publican continuamente anuncios maliciosos en buscadores que realmente redirigen a páginas web falsas diseñadas para capturar la clave maestra y el correo del usuario.

Para hacerlos más realistas y confundir aún más a los usuarios, los dominios que utilizan los actores maliciosos son una imitación de sitios web originales, con ligeras variantes. Algunas de estas imitaciones son tan realistas que pueden engañar a usuarios expertos.

Además de los fraudes y engaños, el 'malware' especializado en robo de contraseñas también está a la orden del día. Es decir, el uso de un 'software' malicioso que, una vez infectado el dispositivo, viola el servicio y roba la contraseña.

Un ejemplo de ello es la reciente operación norcoreana 'DeceptiveDevelopment' analizada por investigadores de ESET, en la que los ciberdelincuentes utilizaron el 'malware' InvisibleFerret, capaz de exfiltrar datos de extensiones del navegador y de gestores como 1Password o Dashlane mediante Telegram y el Protocolo de Transferencia de Archivos (FTP).

En este caso, el 'malware' se ocultó en archivos enviados durante falsos procesos de selección, pero en cada campaña los actores maliciosos utilizan su ingenio para extender el 'malware' disimuladamente, lo que demuestra que "la ingeniería social sigue siendo un vector decisivo", como han puntualizado desde ESET.

Otro de los riesgos que ha puesto sobre la mesa la compañía son las brechas en proveedores de gestores de contraseñas, que ponen de manifiesto cómo hasta los proveedores más entendidos en ciberseguridad pueden ser víctima de un incidente.

Por ejemplo, el gestor de contraseñas LastPass fue víctima de dos brechas de seguridad en el año 2022 que permitieron a los atacantes robar código fuente, documentación técnica y copias de seguridad cifradas de clientes.

Como resultado de estos 'hackeos', se acabó vinculando el robo de 4,4 millones de dólares en criptomonedas (unos 4,16 millones de euros) y se desencadenaron ataques posteriores a gran escala, incluido un robo de criptomonedas valorado en 150 millones de dólares, según ESET.

Continuando con los riesgos de seguridad, la compañía ha apuntado que, como cualquier 'software', los gestores de contraseña pueden contener algún fallo que, hallado por un actor malicioso, se vuelve una oportunidad para explotar la vulnerabilidad y, por tanto, permitir la extracción de credenciales o incluso códigos de autenticación en dos pasos.

Además, cabe destacar que, cuantos más dispositivos tenga sincronizados el usuario a una misma cuenta del gestor de contraseñas, mayor superficie de ataque pueden aprovechar los ciberdelincuentes.

Finalmente, desde ESET también han puntualizado como un riesgo a tener en cuenta las aplicaciones falsas de gestores de contraseñas, que se pueden encontrar en plataformas fiables como es el caso de la App Store.

Estas aplicaciones están teniendo éxito debido al auge de los gestores de contraseñas verídicos, sin embargo, están diseñadas para robar la contraseña maestra o instalar 'malware' en los dispositivos donde se descarguen.

Frente a todas estas amenazas que atacan directamente a los gestores de contraseñas, desde ESET han detallado algunos puntos relevantes para minimizar riesgos.

Es el caso de asegurar que los usuarios crean una contraseña maestra única, larga y segura. Por ejemplo de cuatro palabras unidas por guiones. Además, se deberá activar siempre la autenticación multifactor (2FA) en los servicios utilizados, para evitar accesos no autorizados. Esto último puede evitar que los ciberdelincuentes accedan, incluso si han conseguido robar las contraseñas.

También se han de mantener los navegadores, sistemas operativos y gestores de contraseñas "siempre actualizados", así como procurar descargar aplicaciones exclusivamente desde tiendas oficiales, verificando además el desarrollador.

Finalmente, aunque parezca una obviedad, es preferible utilizar gestores de contraseñas de proveedores fiables y consolidados, además de instalar soluciones de seguridad en todos los dispositivos para bloquear el 'malware' de robo de credenciales.

"Los gestores de contraseñas siguen siendo una de las mejores herramientas para proteger nuestras cuentas, pero debemos dejar de pensar en ellos como algo infalible", ha advertido el director de investigación y concienciación de ESET España, Josep Albors, al tiempo que manifestado que "ya no basta con usar un gestor, también hay que protegerlo".