Revista Informática

Problemas de vulnerabilidad en populares administradores de contraseñas y cómo lidiar con ello

Publicado el 16 septiembre 2019 por Lauratuero @incubaweb

Desde hace algunos años, muchos expertos en ciberseguridad han sugerido el uso de administradores de contraseñas a los usuarios de Internet. Estas herramientas son convenientes y garantizan la seguridad de las múltiples cuentas que se manejan diariamente. Los administradores de contraseñas forman un conjunto seguro de información para tus inicios de sesión, básicamente actúan como un llavero virtual, lo que te permite almacenar de forma segura cientos de contraseñas si es necesario.

No obstante, no todo es perfecto y hace poco más de 6 meses se descubrió que estos administradores de contraseñas pueden no ser tan seguros como podrías pensar.

Problemas de vulnerabilidad en populares administradores de contraseñas y cómo lidiar con ello

Sin embargo, hacemos un llamado a la calma porque hoy te explicaremos cómo solventar estos posibles problemas. Además, no es recomendable eliminarlos, debes tener en cuenta que hay administradores de contraseñas confiables para hacer una investigación minuciosa y, de igual forma, los expertos que encontraron estas vulnerabilidades en los administradores de contraseñas más populares, todavía piensan que debes usar uno.

¿Cuál es la razón? Todos sabemos que no debemos reutilizar las contraseñas ni una sola vez, y mucho menos, escribirlas en papel. Estas dos formas son más peligrosas que seguir utilizando tu gestor de contraseñas. De hecho, es posible lidiar con los problemas de vulnerabilidad si mantienes tu computador vigilado con software virus de calidad.

Independent Security Evaluators (IES) descubrió que contienen algunas fallas preocupantes, como el almacenamiento de contraseñas maestras en la memoria del sistema como texto sin formato. A continuación, se presenta un resumen más detallado de los problemas individuales de cada uno:

  1. 1Password7: almacena todas las contraseñas en texto plano en la memoria mientras las bloquea y no las elimina hasta que se cierra el programa. Estas también se pueden extraer mediante un error de pérdida de memoria.
  2. 1Password4: deja la contraseña maestra más utilizada expuesta al pasar del estado desbloqueado al bloqueado. También tiene un error que deja la contraseña en la memoria en texto sin formato mientras está bloqueada.
  3. Dashlane: expone todas las contraseñas de usuario almacenadas de forma segura en texto sin formato cada vez que un usuario actualiza cualquier información a través de la interfaz.
  4. LastPass: no puede eliminar las entradas de la base de datos de texto sin formato de la memoria cuando un usuario desbloquea y vuelve a bloquear su cuenta.
  5. KeePass: elimina las contraseñas maestras de la memoria después del uso, pero tiene errores de pérdida de memoria que exponen las contraseñas de texto sin formato.

En resumen, el problema es que cada uno de estos administradores de contraseñas, en algún momento, almacenará la contraseña maestra en la memoria local en texto sin formato mientras se está ejecutando.

A su vez, todos protegen la contraseña maestra cuando no se están ejecutando pero ninguno de ellos la protege adecuadamente o la borra de la RAM mientras está en ejecución, compartiendo información que no está encriptada a través de la memoria del sistema. Incluso las contraseñas más complejas podrán estar completamente expuestas.

¿Cómo lidiar con estas vulnerabilidades?

Todas estas vulnerabilidades requieren que se esté ejecutando el administrador de contraseñas y que la contraseña maestra se haya ingresado en algún momento. Entonces, el atacante debe tener acceso físico al computador o comprometer el sistema remotamente a través de algún tipo de malware, por dar un ejemplo.

Por lo tanto, se pueden tomar algunas medidas proactivas para proteger tus datos personales. El malware se puede detener manteniendo actualizado el sistema operativo, ejecutando un antivirus confiable y haciendo uso del cifrado completo del disco.

Los sistemas que no han tenido un chequeo en algún momento también deben analizarse para detectar la posible presencia de keyloggers y extensiones de navegador maliciosas. Asimismo, se recomienda codificación binaria por instalación durante esta fase. En el extremo local, configura el sistema operativo para que se bloquee automáticamente para impedir el acceso físico mientras estás fuera.

Por último, desde el ISE hasta otros expertos, recomiendan que no dejes ninguna de las aplicaciones de administrador de contraseñas afectadas ejecutándose en segundo plano, incluso en un estado bloqueado.


Volver a la Portada de Logo Paperblog