Específicamente, presentan vulnerabilidades a ataques de Clickjacking. Esta técnica involucra a la víctima haciendo clic en un enlace en un sitio web que percibe como legítimo y seguro, cuando en realidad es una estafa, ya que se trata de un sitio web superpuesto sobre la página auténtica. Esto permite a los atacantes robar credenciales, códigos 2FA o información bancaria.
Vulnerabilidades en gestores de contraseñas
Estas vulnerabilidades fueron expuestas en la DEF CON 33, una conferencia sobre seguridad, por Marek Tóth. Además, analistas de seguridad de Socket confirmaron estos hallazgos, como se detalla en su informe técnico del 19 de agosto. Esto ha facilitado la información a los proveedores afectados y la coordinación para su divulgación pública.
Técnicamente, los ciberdelincuentes podrían aprovechar estas vulnerabilidades de seguridad cuando las víctimas acceden a páginas maliciosas, que son vulnerables a ataques de secuencias de comandos entre sitios (XSS) o envenenamiento de caché, donde los atacantes colocan elementos HTML invisibles sobre la interfaz del gestor de contraseñas. La víctima no percibe dónde está haciendo clic y, como resultado, termina filtrando información.
Marek Tóth realizó pruebas con varios de los gestores de contraseñas más populares. Identificó que seis de ellos, en versiones específicas, podrían filtrar información en ciertas circunstancias. Estos son:
- 1Password
- Bitwarden
- LastPass
- Enpass
- iCloud Passwords
- LogMeOnce
Explotación del fallo
Para aprovechar esta vulnerabilidad, un atacante debe ejecutar un script en un sitio web malicioso o comprometido, utilizando configuraciones de opacidad o superposiciones para ocultar el menú desplegable de uno de estos gestores de contraseñas basados en el navegador.
El atacante luego superpondrá elementos intrusivos falsos, que pasarán desapercibidos para la víctima. Estos podrían incluir banners de cookies, ventanas emergentes o CAPTCHA. Así, los clics de la víctima se dirigirán a los controles ocultos del gestor de contraseñas, filtrando información confidencial sin su conocimiento.
Este investigador demostró la viabilidad de un método en el que la interfaz de usuario sigue al cursor del ratón, de modo que cualquier clic activaría el autocompletado de datos, logrando así que este ataque tuviera éxito.
Versiones afectadas
Marek Tóth examinó un total de 11 gestores de contraseñas. No todos eran vulnerables a los diversos métodos, pero cada uno presentaba al menos una vulnerabilidad. De ellos, los seis mencionados aún no han solucionado completamente el problema, y en conjunto tienen cerca de 40 millones de usuarios.
Es importante señalar que, según informa Marek Tóth, 1Password rechazó el informe, argumentando que el Clickjacking es un riesgo web general que los usuarios deben manejar. LastPass calificó el informe como “informativo”, pero no dejó claro si implementarían cambios para mitigar el problema. Bitwarden reconoció la vulnerabilidad, aunque minimizó su impacto, indicando que lo han solucionado con la versión 2025.8.0, que ya está disponible.
Las versiones afectadas son las siguientes:
- 1Password 8.11.4.27
- Bitwarden 2025.7.0
- Enpass 6.11.6 (corrección parcial implementada en 6.11.4.2)
- iCloud Passwords 3.1.25
- LastPass 4.146.3
- LogMeOnce 7.12.4
En cuanto a los otros cinco gestores de contraseñas que completan los 11 analizados, estos son Dashlane, NordPass, ProtonPass, RoboForm y Keeper, los cuales ya han lanzado actualizaciones para sus respectivas aplicaciones.
De acuerdo con el medio especializado en ciberseguridad BleepingComputer, LastPass ha indicado que la vulnerabilidad detectada por Marek Tóth refleja un desafío más amplio para todos los gestores de contraseñas, y que han implementado ciertas medidas de seguridad contra el Clickjacking, como mostrar una notificación emergente antes del autocompletado de contraseñas.
Lista de gestores de claves y su estado
| Proveedor | Versión Vulnerable | Estado Actual | Versión Segura / Medida |
|---|---|---|---|
| 1Password | 8.11.4.27 | Postura Cuestionada | Sin parche confirmado; alegan riesgo general. |
| Bitwarden | 2025.7.0 | Solucionado | Versión 2025.8.0 o superior. |
| LastPass | 4.146.3 | Postura Cuestionada | Sin parche confirmado; alegan mitigaciones existentes. |
| Enpass | 6.11.6 | Parcialmente Solucionado | Corrección parcial desde 6.11.4.2. |
| iCloud Passwords | 3.1.25 | Vulnerable | Sin parche confirmado. |
| LogMeOnce | 7.12.4 | Vulnerable | Sin parche confirmado. |
| Dashlane, NordPass, ProtonPass, RoboForm, Keeper | N/A | Solucionado | Actualizaciones ya lanzadas. |
Para evitar inconvenientes, si utilizas un gestor de contraseñas que ya ha solucionado esta vulnerabilidad, es crucial que verifiques que tienes instalada la última versión. Además, siempre recomendamos utilizar administradores de claves seguros que realmente protejan tus contraseñas.
Sigue estos pasos para asegurarte de que estás protegido:
- En Google Chrome: Escribe chrome://extensions en la barra de direcciones. Busca tu gestor en la lista y verifica el número de versión. Si no coincide con la última versión segura, activa el ‘Modo de desarrollador’ en la esquina superior derecha y haz clic en ‘Actualizar’.
- En Mozilla Firefox: Escribe about:addons en la barra de direcciones. Haz clic en el icono del engranaje en la parte superior y selecciona ‘Buscar actualizaciones’.
- En Microsoft Edge: Escribe edge://extensions en la barra de direcciones y activa el ‘Modo de desarrollador’ en la esquina inferior izquierda para que aparezca el botón ‘Actualizar’.
Comparar siempre la versión instalada con la última versión estable listada en la página oficial del proveedor. Nunca instales o actualices aplicaciones o extensiones desde sitios no oficiales, ya que podrían ser inseguros.
Preguntas frecuentes
¿Puedo usar un gestor de contraseñas en múltiples dispositivos?
Sí, puedes utilizar un gestor de claves en tu móvil, ordenador o incluso en su versión de navegador.
¿Qué ocurre si alguien accede a mi gestor de contraseñas?
El gestor de contraseñas almacena todas las claves. Si alguien logra entrar, podría tener control sobre tus diversas cuentas. Por lo tanto, es vital protegerlo adecuadamente.
¿Es posible usar autenticación en dos pasos en el gestor de claves?
Sí, puedes implementarla, y es una medida crucial para mantener la seguridad. Esto crea una capa adicional de protección contra intrusos.
