Un análisis académico realizado por un grupo de investigadores de ETH Zurich en colaboración con la Università della Svizzera italiana llamó la atención sobre una categoría de software considerado durante años altamente confiable para administrar credenciales: los administradores de contraseñas.
Los tres productos examinados, (Bitwarden, LastPass y Dashlane) adoptan un modelo de cifrado de conocimiento cero, según el cual ni siquiera el proveedor de servicios puede acceder a los datos de los usuarios.
Para ello, los administradores de contraseñas trabajan generando una clave criptográfica en el dispositivo del usuario a partir de la contraseña maestra, es decir, la «palabra de pase» principal que desbloquea toda la bóveda.
Además, gracias al cifrado en caso de que el servidor sufra una fuga de datos, o un ataque informático exitoso, los villanos acabarían frustrados porque solamente obtendrían un galimatías ilegible.
Un grupo de investigadores de Zúrich decidió probar el funcionamiento práctico de esta protección
Estudiaron la arquitectura de estos tres conocidos servicios de almacenamiento de contraseñas y simularon una situación en la que un servidor estaba bajo el control de un atacante.
Para ello, implementaron sus propios servidores, que se comportaron como si hubieran sido pirateados, y observaron lo que sucedería durante las interacciones normales de los usuarios mediante su navegador web.
Las operaciones estándar, como acceder a una cuenta, abrir una bóveda o sincronizar con el servidor, fueron suficientes para hacerse una idea.
Los resultados fueron desastrosos.
Los investigadores realizaron docenas de ataques exitosos a varios servicios. En la mayoría de los escenarios, pudieron acceder al contenido de los dispositivos de almacenamiento e incluso cambiar sus registros.
Según ellos, los detalles técnicos de la investigación muestran un panorama preocupante para los usuarios de los servicios en la nube.
Bitwarden fue el más vulnerable en la prueba con doce vectores de ataque exitosos, seguido por LastPass con siete y Dashlane con seis.
Los ataques variaron desde violaciones de integridad de los registros individuales hasta la lectura completa de los datos almacenados.
Antes de publicar sus hallazgos, los autores informaron a las empresas de las vulnerabilidades descubiertas y les concedieron tres meses para resolverlas.
Algunos desarrolladores respondieron rápidamente, mientras que otros retrasaron la actualización.
La razón es simple: realizar cambios repentinos en los mecanismos criptográficos podría resultar en la pérdida de acceso de los usuarios a sus datos.
Lo más preocupante es que entre sus clientes no solo hay particulares, sino también empresas que almacenan todas sus credenciales en tales servicios.
Pero no hay necesidad de entara en pánico: un atacante real necesitaría el control total de la infraestructura de servidores del proveedor para explotar estas brechas.
- Dashlane ya ha parcheado vectores de ataque críticos eliminando el soporte para cierta criptografía heredada.
- Bitwarden y LastPass también están trabajando en medidas de endurecimiento.
Pero seguramente, algunos proveedores no tan conocidos todavía dependen de soluciones criptográficas obsoletas, que se remontan a los años noventa.
¿Y qué pueden hacer los millones de personas que confían en los gestores de contraseñas en la nube?
Los expertos recomiendan elegir un administrador de contraseñas que sea transparente sobre posibles vulnerabilidades de seguridad, se someta a auditorías externas y, al menos, tenga por defecto cifrado de extremo a extremo.
¿Seguirás confiando en los servicios en la nube o te decantarás por soluciones más caseras como KeePass?
