¿Son seguras las aplicaciones web de gestión de contraseñas?

lastpass

La gestión de contraseñas se ha convertido en un quebradero de cabeza para la mayoría de usuarios de servicios online. No son pocos los que tienen una cantidad importante de contraseñas que recordar y, para evitar olvidarlas recurren a aplicaciones de gestión de contraseñas. Estas aplicaciones pueden ser programas que se instalan de forma local y actúan como un llavero local de contraseñas o bien aplicaciones web.

En cualquier caso, a pesar de que su uso se está extendiendo por la dificultad de recordar la gran cantidad de contraseñas que guardamos actualmente, siempre ha existido la duda de si no era muy arriesgado poner todos los huevos en la misma cesta.

Eso mismo se preguntaron Zhiwei Li, Warren He, Devdatta Akhawe y Dawn Song, investigadores de la Universidad de Berkeley (California), quienes decidieron realizar un estudio donde analizan 5 de las aplicaciones web más conocidas a la hora de gestionar las contraseñas de los usuarios. Estas aplicaciones son:

  • LastPass
  • RoboForm
  • My1Login
  • PasswordBox
  • NeedMyPassword

En este estudio, los investigadores logran demostrar que 4 de estas aplicaciones pueden sufrir el robo de las contraseñas de los usuarios que las utilizan debido a varias vulnerabilidades. De entre todas las vulnerabilidades destacamos las dos que afectan a LastPass, quien se ha visto obligado a lanzar un comunicado tras los fallos encontrados en su gestor de contraseñas para Chrome, Firefox, Opera y Safari.

Vulnerabilidad Bookmarklet

La primera de esas vulnerabilidades se encuentra en el complemento de LastPass conocido como Bookmarklets (pedazos de código en Javascript que se instalan como un marcador “favorito en nuestro navegador”). De esta forma, si pulsamos sobre él podemos ejecutar código en la web que estamos visitando, muy útil si hay un formulario de registro en la web y no tenemos acceso a nuestro gestor de contraseñas pero ¿qué sucede si la web en la que se ejecuta el código resulta ser maliciosa?

Esto mismo es lo que descubrieron los investigadores, algo que les permitió obtener las contraseñas de servicios online desde LastPass. Por suerte, este complemento es usado por muy pocos usuarios, lo que mitiga el posible aprovechamiento de esta vulnerabilidad por atacantes.

Vulnerabilidad de la contraseña de un solo uso (OTP)

Otra de las vulnerabilidades se aprovecha de la característica de la contraseña de un solo uso (OTP) de LastPass, utilizada normalmente en aquellos dispositivos que no nos inspiren confianza. Esta contraseña se destruye tras su utilización por lo que, aun si fuera capturada por un delincuente, no podría volver a utilizarla.

Para poder aprovecharse de esta vulnerabilidad se requiere que el atacante conozca el nombre de usuario y que realice un ataque por cada víctima potencial, algo que de momento no se ha observado. Aun explotando esta vulnerabilidad, el atacante seguiría sin tener la clave para descifrar los datos del usuario.

Conclusión

Con respecto de estas vulnerabilidades, resulta cuanto menos curioso que las conozcamos ahora, cuando fueron originalmente reportadas a los fabricantes en otoño del año pasado. Por suerte para los usuarios, se informó de forma responsable a los fabricantes y no se tiene constancia de que ningún usuario haya sufrido el robo de sus credenciales aprovechándose de estos fallos de seguridad.

En lo que respecta a este tipo de software, que se descubran este tipo de vulnerabilidades no los convierte en inservibles. Todos los programas tiene fallos que se van solucionando, muchas veces gracias a la labor de investigadores que dedican tiempo y esfuerzo a descubrir estos agujeros para que puedan ser solucionados.

Como usuarios, podemos mejorar aún más la seguridad de estos gestores de contraseñas si utilizamos una sola contraseña pero muy difícil de romper como contraseña maestra combinada con un factor de doble autenticación. De esta forma nos estaremos tomando nuestra privacidad mucho más en serio.

Josep Albors

Aprendiendo con papá