El uso de gestores de contraseñas se ha disparado en los últimos años, impulsado por la creciente complejidad de la vida digital. Según un estudio de 2024, el usuario medio de Internet gestiona alrededor de 168 contraseñas personales, un 68% más que hace apenas cuatro años. Este crecimiento ha convertido a los gestores de contraseñas en herramientas esenciales para crear, almacenar y recordar claves largas, robustas y únicas. Sin embargo, su papel crítico también los ha situado en el punto de mira de los ciberdelincuentes.
“Los gestores de contraseñas siguen siendo una de las mejores herramientas para proteger nuestras cuentas, pero debemos dejar de pensar en ellos como algo infalible”, advierte Josep Albors, director de investigación y concienciación de ESET España. “Estamos viendo campañas específicas que intentan robar la contraseña maestra, aprovechar fallos de configuración o incluso usar malware para vaciar estos ‘cofres’ digitales. Por eso ya no basta con usar un gestor, también hay que protegerlo”.
6 riesgos de seguridad de los gestores de contraseñas
Si los atacantes consiguen acceder a las credenciales almacenadas en un gestor de contraseñas, pueden secuestrar cuentas para cometer fraudes de identidad o vender ese acceso y esas contraseñas a terceros. Por ello, están constantemente buscando nuevas formas de dirigir sus ataques. ESET, compañía líder en ciberseguridad, destaca seis riesgos principales a tener en cuenta:
1. Robo de la contraseña maestra: la fortaleza de un gestor de contraseñas reside en su accesibilidad mediante una única clave maestra. Pero, si esta se ve comprometida, ya sea por fuerza bruta, vulnerabilidades del software o páginas de phishing, los atacantes obtienen acceso directo a todas las credenciales del usuario.
2. Phishing y anuncios fraudulentos: los ciberdelincuentes publican anuncios maliciosos en buscadores que redirigen a páginas web falsas diseñadas para capturar la clave maestra y el correo del usuario. Estos dominios imitan a los originales con ligeras variaciones, pudiendo engañar incluso a usuarios expertos.
3. Malware especializado en el robo de contraseñas: la operación norcoreana “DeceptiveDevelopment”, analizada recientemente por investigadores de ESET, empleó el malware InvisibleFerret, capaz de exfiltrar datos de extensiones de navegador y gestores como 1Password o Dashlane mediante Telegram y FTP. Este malware llegó oculto en archivos enviados durante falsos procesos de selección, demostrando que la ingeniería social sigue siendo un vector decisivo.
4. Brechas en proveedores de gestores de contraseñas: incluso los proveedores más reputados pueden sufrir incidentes. En 2022, LastPass fue víctima de un ataque que permitió a los intrusos robar código fuente, documentación técnica y copias de seguridad cifradas de clientes. Este caso mostró que una sola brecha puede desencadenar ataques posteriores a gran escala, incluido un robo de criptomonedas valorado en 150 millones de dólares.
5. Aplicaciones falsas de gestores de contraseñas: el auge de estas herramientas también ha propiciado la aparición de aplicaciones fraudulentas, incluso en plataformas tan protegidas como la App Store. Estas apps buscan robar la contraseña maestra o instalar malware en los dispositivos de los usuarios.
6. Explotación de vulnerabilidades: como cualquier software, los gestores de contraseñas pueden contener fallos. La explotación de estas vulnerabilidades puede permitir la extracción de credenciales o incluso códigos de autenticación en dos pasos. Cuantos más dispositivos tenga sincronizados el usuario, mayor superficie de ataque que pueden aprovechar los ciberdelincuentes.
Cómo utilizar un gestor de contraseñas de forma segura
ESET recomienda seguir estas prácticas para minimizar riesgos:
· Crea una contraseña maestra única, larga y segura; por ejemplo, cuatro palabras que puedas recordar unidas por guiones.
· Activa siempre la autenticación multifactor (2FA) para impedir accesos no autorizados, incluso si las contraseñas son robadas.
· Mantén navegadores, sistemas operativos y gestores de contraseñas siempre actualizados.
· Descarga aplicaciones únicamente desde tiendas oficiales y verifica el desarrollador.
· Elige gestores de contraseñas de proveedores fiables y consolidados.
· Instala soluciones de seguridad de confianza en todos los dispositivos para bloquear malware diseñado para robar credenciales.