Ataques a gestores de contraseñas consiguen obtener las claves de sus usuarios

password1jpg

Uno de los puntos clave a tratar cuando hablamos de la importancia de saber gestionar nuestras contraseñas es saber donde almacenarlas de forma segura. De nada sirve elaborar una contraseña compleja que sea difícil de obtener por fuerza bruta o usando datos públicos de nuestro perfil en redes sociales si luego la almacenamos en un fichero de texto sin cifrar o la apuntamos en un papel y la dejamos a la vista en nuestro lugar de trabajo.

Por eso, desde hace tiempo se viene recomendando la utilización de gestores de contraseñas, unas prácticas herramientas que permiten almacenar y usar nuestras contraseñas sin tener que memorizar nada más que una contraseña maestra.

Vulnerabilidades en gestores de contraseñas

Debido a que estos gestores de contraseñas almacenan información confidencial de los usuarios son un objetivo muy apetecible para los delincuentes. Si un atacante consigue aprovechar una vulnerabilidad en una de estas herramientas tendrá acceso a las contraseñas de miles de usuarios en todo el mundo y a los datos que se protegen con ellas.

Por ese motivo es importante estar al día de posibles vulnerabilidades en los gestores de contraseñas más utilizados para intentar solucionarlas actualizando la versión vulnerable o, en casos donde aun no exista una solución, dejar de usarlo temporalmente y sustituirlo por alguna alternativa.

Durante estas semanas se han conocido o están a punto de conocerse una serie de vulnerabilidades en algunos de los gestores de contraseñas más utilizados, como pueden ser 1Password, LastPass y Keepass. Estos gestores son utilizados a diario por miles de usuarios y puede poner en peligro millones de contraseñas usadas en todo tipo de servicios, desde cuentas de correo personales y perfiles en redes sociales hasta datos corporativos confidenciales almacenados en servicios en la nube.

Revisando los fallos de seguridad

Los agujeros de seguridad presentes en estos gestores de contraseñas son diferentes pero todos terminan dejando información confidencial del usuario en manos de un atacante. Por ejemplo, en el caso de 1Password el problema se encuentra en el servicio 1PasswordAnywhere, servicio que permite acceder a nuestros datos sin necesidad de tener instalado el software.

El investigador de Microsoft Dale Myers descubrió que las contraseñas almacenadas en este servicio no están cifradas adecuadamente y, si bien al tratar de acceder al fichero 1Password.html se nos pedirá una clave de acceso, también se almacenan metadatos en otro fichero de nombre contents.js y que contiene todas las contraseñas en texto plano. Tras descubrir esta vulnerabilidad, el investigador alertó a los desarrolladores de AgileBits para que la solucionasen.

El problema se agrava si tenemos en cuenta que algunos usuarios almacenan estos ficheros en servicios en la nube o incluso publican enlaces para acceder a este fichero en webs personales, con lo que los buscadores los han ido indexando y es posible localizarlos realizando una simple búsqueda.

Un viejo conocido de este blog como es Alberto Garcia Illera, al que conocemos por sus presentaciones en Defcon sobre vulnerabilidades en sistemas de transporte y hacking de coches, presentará una charla en BlackHat Europa la semana que viene junto a su compañero Martín Vigo sobre cómo acceder a la base de datos de LastPass y obtener datos tan confidenciales como las contraseñas, cuentas bancarias, claves ssh e información personal variada.

Los investigadores se han centrado en realizar ingeniería inversa a los complementos de LastPass para conseguir acceder a la clave maestra y descifrarla, además de descubrir métodos para saltarse el doble factor de autenticación. Además, para agilizar todo este proceso, han desarrollado un módulo de Metasploit que permite buscar información relacionada con LastPass en la máquina del usuario y obtener las contraseñas almacenadas.

Para terminar, se ha publicado recientemente una herramienta para extraer contraseñas almacenadas en las versiones 2.x del gestor KeePass. La información sustraída incluye nombres de usuarios, contraseñas, apuntes y direcciones web y es almacenada en un fichero CSV en el directorio %AppData%.

Conclusión

Algunos podrían pensar que tras las vulnerabilidades que acabamos de presentar, el futuro de los gestores de contraseñas no está nada claro. La realidad es que, si bien estos fallos de seguridad deben ser solucionados lo antes posible para evitar poner en riesgo la información de miles de usuarios, sigue siendo más seguro utilizar estos gestores que reutilizar contraseñas fáciles de adivinar en varios servicios.

No obstante, también es importante apuntar que la utilización de contraseñas como método de autenticación debe empezar a ser complementada o incluso relegada por otros sistemas más robustos (aunque tampoco 100% invulnerables) como puedan ser la autenticación biométrica o el doble factor de autenticación.

Josep Albors

Protege tu cuenta de Steam con el doble factor de autenticación móvil Steam Guard