-

Problemas de vulnerabilidad en populares administradores de contraseñas y cómo lidiar con ello

Desde hace algunos años, muchos expertos en ciberseguridad han sugerido el uso de administradores de contraseñas a los usuarios de Internet. Estas herramientas son convenientes y garantizan la seguridad de las múltiples cuentas que se manejan diariamente. Los administradores de contraseñas forman un conjunto seguro de información para tus inicios de sesión, básicamente actúan como un llavero virtual, lo que te permite almacenar de forma segura cientos de contraseñas si es necesario.

No obstante, no todo es perfecto y hace poco más de 6 meses se descubrió que estos administradores de contraseñas pueden no ser tan seguros como podrías pensar.

Sin embargo, hacemos un llamado a la calma porque hoy te explicaremos cómo solventar estos posibles problemas. Además, no es recomendable eliminarlos, debes tener en cuenta que hay administradores de contraseñas confiables para hacer una investigación minuciosa y, de igual forma, los expertos que encontraron estas vulnerabilidades en los administradores de contraseñas más populares, todavía piensan que debes usar uno.

¿Cuál es la razón? Todos sabemos que no debemos reutilizar las contraseñas ni una sola vez, y mucho menos, escribirlas en papel. Estas dos formas son más peligrosas que seguir utilizando tu gestor de contraseñas. De hecho, es posible lidiar con los problemas de vulnerabilidad si mantienes tu computador vigilado con software virus de calidad.

Independent Security Evaluators (IES) descubrió que contienen algunas fallas preocupantes, como el almacenamiento de contraseñas maestras en la memoria del sistema como texto sin formato. A continuación, se presenta un resumen más detallado de los problemas individuales de cada uno:

  1. 1Password7: almacena todas las contraseñas en texto plano en la memoria mientras las bloquea y no las elimina hasta que se cierra el programa. Estas también se pueden extraer mediante un error de pérdida de memoria.
  2. 1Password4: deja la contraseña maestra más utilizada expuesta al pasar del estado desbloqueado al bloqueado. También tiene un error que deja la contraseña en la memoria en texto sin formato mientras está bloqueada.
  3. Dashlane: expone todas las contraseñas de usuario almacenadas de forma segura en texto sin formato cada vez que un usuario actualiza cualquier información a través de la interfaz.
  4. LastPass: no puede eliminar las entradas de la base de datos de texto sin formato de la memoria cuando un usuario desbloquea y vuelve a bloquear su cuenta.
  5. KeePass: elimina las contraseñas maestras de la memoria después del uso, pero tiene errores de pérdida de memoria que exponen las contraseñas de texto sin formato.

En resumen, el problema es que cada uno de estos administradores de contraseñas, en algún momento, almacenará la contraseña maestra en la memoria local en texto sin formato mientras se está ejecutando.

A su vez, todos protegen la contraseña maestra cuando no se están ejecutando pero ninguno de ellos la protege adecuadamente o la borra de la RAM mientras está en ejecución, compartiendo información que no está encriptada a través de la memoria del sistema. Incluso las contraseñas más complejas podrán estar completamente expuestas.

¿Cómo lidiar con estas vulnerabilidades?

Todas estas vulnerabilidades requieren que se esté ejecutando el administrador de contraseñas y que la contraseña maestra se haya ingresado en algún momento. Entonces, el atacante debe tener acceso físico al computador o comprometer el sistema remotamente a través de algún tipo de malware, por dar un ejemplo.

Por lo tanto, se pueden tomar algunas medidas proactivas para proteger tus datos personales. El malware se puede detener manteniendo actualizado el sistema operativo, ejecutando un antivirus confiable y haciendo uso del cifrado completo del disco.

Los sistemas que no han tenido un chequeo en algún momento también deben analizarse para detectar la posible presencia de keyloggers y extensiones de navegador maliciosas. Asimismo, se recomienda codificación binaria por instalación durante esta fase. En el extremo local, configura el sistema operativo para que se bloquee automáticamente para impedir el acceso físico mientras estás fuera.

Por último, desde el ISE hasta otros expertos, recomiendan que no dejes ninguna de las aplicaciones de administrador de contraseñas afectadas ejecutándose en segundo plano, incluso en un estado bloqueado.

Lo último...

Las VPN no salvarán la privacidad en Internet gracias al Congreso de Estados Unidos

Nuestra privacidad en internet siempre se ha visto en entre dicho gracias a que desde nuestros proveedores de servicio, pasando por las redes sociales...

La guía fundamental para la traducción de aplicaciones móviles

A la hora de diseñar una aplicación para dispositivos móviles es muy importante tener en cuenta ciertos aspectos para que esta sea atractiva a...

Motivos por los que estudiar animación puede ser tu mejor opción

Son muchas las personas que no tienen claro hacia dónde dirigir su futuro en lo que a estudios se refiere. Las opciones que nos...

¿Sabes por qué tu proveedor de hosting es muy importante para el posicionamiento de tu sitio?

Lograr que tu sitio tenga un gran posicionamiento en los motores de búsqueda, principalmente en Google, no solo es cuestión de incluir algunas palabras...

Consejos para proteger tu hogar en vacaciones con dispositivos Smart Home

Aunque este verano será algo diferente por culpa del Covid-19, aún siguen siendo muchas las personas que deciden coger su coche y desplazarse para...