– FREEPIK – Archivo
MADRID, 8 Dic. (CIBERPRO) –
Los administradores de contraseñas se han establecido como una de las herramientas indispensables para los usuarios en su vida digital diaria. No obstante, también se han convertido en uno de los principales objetivos para los ciberdelincuentes, quienes los exponen a amenazas como el ‘phishing’ o el ‘malware’ y la explotación de errores de configuración, lo que deja sus contraseñas en una situación de vulnerabilidad.
La creciente complejidad de la vida digital exige, en la mayoría de los casos, crear una cuenta personal para acceder a cualquier servicio ‘online’, la cual requiere credenciales de usuario y contraseña.
De hecho, un estudio de 2024 realizado por el gestor de contraseñas NordPass indica que el usuario promedio de Internet gestiona un 68 por ciento más de contraseñas que hace cuatro años, con una media de 168 contraseñas.
Esto provoca que los usuarios enfrenten momentos difíciles en los que olvidan sus contraseñas y deben cambiarlas para acceder al servicio deseado, así como situaciones de ciberseguridad complicadas, dado que sus cuentas son más vulnerables al depender de recordar contraseñas que a menudo no son muy seguras.
En este contexto, los administradores de contraseñas se presentan como una solución bastante efectiva, ya que son herramientas que permiten generar, almacenar y recordar contraseñas para todos los servicios digitales. Además, ofrecen un nivel de seguridad mucho mayor, con claves largas, robustas y únicas para cada servicio y cuenta.
UN OBJETIVO VALIOSO PARA LOS CIBERDELINCUENTES
A pesar de su importancia para los usuarios, los administradores de contraseñas también se han convertido en uno de los principales blancos de los ciberdelincuentes, quienes los ven como un valioso cofre del tesoro y buscan acceder a ellos mediante campañas de robo de la contraseña maestra, aprovechando errores de configuración o ataques de ‘malware’.
Si los atacantes logran acceder a las credenciales guardadas en un administrador de contraseñas, pueden utilizarlas para cometer fraudes de identidad, acceder a servicios para obtener beneficios o vender el acceso al administrador de contraseñas y, con ello, las contraseñas a terceros, entre otras consecuencias.
Con esto en mente, los usuarios deben estar atentos a ciertos aspectos críticos al utilizar sus administradores de contraseñas, para protegerse contra los ataques de los actores maliciosos, siendo hasta seis riesgos de seguridad identificados por la compañía de ciberseguridad ESET.
SEIS RIESGOS DE SEGURIDAD
Primero, uno de los principales riesgos que enfrentan los administradores de contraseñas es el robo de la contraseña maestra, que debe ser evitado a toda costa. Esto se debe a que la seguridad de estos sistemas depende de su accesibilidad mediante una única clave maestra.
Como han señalado desde ESET, si esta clave se ve comprometida, ya sea por ataques de fuerza bruta, vulnerabilidades del ‘software’ o a través de páginas de ‘phishing’, «los atacantes obtienen acceso directo a todas las credenciales del usuario». En otras palabras, han abierto el cofre del tesoro.
Asimismo, el ‘phishing’ y los anuncios fraudulentos se convierten en otro riesgo significativo al que se enfrentan los usuarios, dado que los ciberdelincuentes publican constantemente anuncios maliciosos en buscadores que realmente redirigen a páginas web falsas diseñadas para capturar la contraseña maestra y el correo del usuario.
Para hacerlos más convincentes y confundir a los usuarios, los dominios utilizados por los actores maliciosos son una imitación de sitios web auténticos, con ligeras variaciones. Algunas de estas imitaciones son tan realistas que pueden engañar incluso a usuarios experimentados.
Además de los fraudes y engaños, el ‘malware’ especializado en robo de contraseñas también está en aumento. Esto implica el uso de software malicioso que, una vez infectado el dispositivo, accede al servicio y roba la contraseña.
Un ejemplo es la reciente operación norcoreana ‘DeceptiveDevelopment’, analizada por investigadores de ESET, donde los ciberdelincuentes utilizaron el ‘malware’ InvisibleFerret, capaz de exfiltrar datos de extensiones del navegador y de administradores como 1Password o Dashlane a través de Telegram y el Protocolo de Transferencia de Archivos (FTP).
En esta situación, el ‘malware’ se escondió en archivos enviados durante falsos procesos de selección, pero en cada campaña los actores maliciosos demuestran ingenio para propagar el ‘malware’ de manera disimulada, lo que señala que «la ingeniería social sigue siendo un vector crucial«, como han señalado desde ESET.
Otro riesgo que ha destacado la compañía son las brechas en proveedores de administradores de contraseñas, que evidencian cómo incluso los proveedores más expertos en ciberseguridad pueden ser víctimas de incidentes.
Un caso notable es el gestor de contraseñas LastPass, que sufrió dos brechas de seguridad en 2022 que permitieron a los atacantes robar código fuente, documentación técnica y copias de seguridad cifradas de clientes.
Como resultado de estos ‘hackeos’, se vinculó el robo de 4,4 millones de dólares en criptomonedas (aproximadamente 4,16 millones de euros) y se desataron ataques posteriores a gran escala, incluyendo un robo de criptomonedas valorado en 150 millones de dólares, según ESET.
Siguiendo con los riesgos de seguridad, la compañía ha indicado que, como cualquier ‘software’, los administradores de contraseñas pueden contener fallos que, al ser descubiertos por un actor malicioso, se convierten en una oportunidad para explotar la vulnerabilidad y, por ende, permitir la extracción de credenciales o incluso códigos de autenticación en dos pasos.
Además, es importante resaltar que, cuantos más dispositivos tenga sincronizados el usuario a una misma cuenta del administrador de contraseñas, mayor superficie de ataque pueden aprovechar los ciberdelincuentes.
Finalmente, ESET también ha subrayado como un riesgo a considerar las aplicaciones falsas de administradores de contraseñas, que pueden encontrarse en plataformas de confianza como la App Store.
Estas aplicaciones están teniendo éxito gracias al auge de los administradores de contraseñas genuinos, pero están diseñadas para robar la contraseña maestra o instalar ‘malware’ en los dispositivos donde se descargan.
CÓMO PROTEGER EL ADMINISTRADOR DE CONTRASEÑAS
Ante todas estas amenazas que atacan directamente a los administradores de contraseñas, ESET ha detallado algunos puntos clave para reducir riesgos.
Es fundamental que los usuarios crean una contraseña maestra única, larga y segura. Por ejemplo, una combinación de cuatro palabras unidas por guiones. Además, se debe activar siempre la autenticación multifactor (2FA) en los servicios utilizados, para prevenir accesos no autorizados. Esto puede impedir que los ciberdelincuentes accedan, incluso si logran robar las contraseñas.
También es importante mantener los navegadores, sistemas operativos y administradores de contraseñas «siempre actualizados», así como descargar aplicaciones únicamente desde tiendas oficiales, verificando además la identidad del desarrollador.
Finalmente, aunque pueda parecer obvio, es preferible utilizar administradores de contraseñas de proveedores confiables y consolidados, así como instalar soluciones de seguridad en todos los dispositivos para bloquear el ‘malware’ de robo de credenciales.
«Los administradores de contraseñas siguen siendo una de las mejores herramientas para proteger nuestras cuentas, pero debemos dejar de considerarlos como infalibles«, ha advertido el director de investigación y concienciación de ESET España, Josep Albors, quien también ha manifestado que «ya no basta con usar un administrador, también hay que protegerlo».
