Los gestores de contraseñas en la nube son populares porque facilitan el acceso y el compartir credenciales, pero también concentran datos muy sensibles, como credenciales de banca en línea y tarjetas de crédito, en bóvedas cifradas. Investigadores del Applied Cryptography Group en ETH Zurich analizaron tres servicios muy usados: Bitwarden, LastPass y Dashlane, que en conjunto atienden alrededor de 60 millones de usuarios y tienen una cuota de mercado del 23%.
El equipo —Matilda Backendal, Matteo Scarlata, Kenneth Paterson y Giovanni Torrisi, y con Backendal y Torrisi en la Università della Svizzera italiana en Lugano— montó servidores que imitaban un servidor comprometido para estudiar un modelo de amenaza de servidor malicioso. Demostraron 12 ataques contra Bitwarden, 7 contra LastPass y 6 contra Dashlane. Los ataques iban desde dirigirse a las bóvedas de usuarios concretos hasta comprometer todas las bóvedas de una organización; en muchos casos el equipo pudo acceder a las contraseñas y en ocasiones incluso cambiarlas. Las intrusiones se basaron en interacciones simples que los usuarios realizan normalmente, como iniciar sesión, abrir la bóveda, ver contraseñas o sincronizar datos.
Los investigadores dijeron estar sorprendidos por la gravedad de las vulnerabilidades. Señalaron que funciones añadidas para la usabilidad, como la recuperación de contraseñas y el compartir, complicaron la arquitectura y aumentaron la superficie de ataque, y que muchos proveedores aún usan tecnologías criptográficas antiguas de los 90. Los autores siguieron la divulgación responsable y dieron 90 días para corregir; la mayoría cooperó, aunque no todos actuaron con rapidez y algunos desarrolladores temen que las actualizaciones puedan provocar pérdida de acceso por parte de clientes.
- Recomendaciones: actualizar sistemas para nuevos clientes.
- Ofrecer a clientes existentes la opción de migrar y ser transparentes sobre seguridad.
- Preferir gestores con auditorías externas y cifrado de extremo a extremo por defecto.
Paterson declaró: "Queremos que nuestro trabajo contribuya a provocar un cambio en esta industria." Fuente: ETH Zurich.
Palabras difíciles
- bóveda — espacio seguro para guardar datos y contraseñasbóvedas, la bóveda
- cifrado — protección que transforma datos para que sean ilegiblescifradas
- superficie de ataque — partes de un sistema vulnerables a intrusiones
- divulgación responsable — informar vulnerabilidades a proveedores antes de hacerlas públicas
- auditoría — revisión externa que evalúa seguridad y prácticasauditorías
- recuperación — proceso para volver a obtener acceso perdido
- cuota de mercado — porcentaje del mercado controlado por una empresa
Consejo: pasa el cursor, enfoca o toca las palabras resaltadas en el artículo para ver definiciones rápidas mientras lees o escuchas.
Preguntas de discusión
- ¿Qué riesgos concretos implica que los gestores en la nube concentren credenciales de banca y tarjetas de crédito? Explica con razones.
- Los investigadores recomiendan ofrecer a clientes existentes la opción de migrar y ser transparentes. ¿Qué ventajas y desventajas ves en esa propuesta?
- ¿Por qué es importante la divulgación responsable cuando se descubren vulnerabilidades? Da ejemplos de consecuencias positivas y negativas.
Artículos relacionados
Estudio sobre la enseñanza en línea en China durante el confinamiento de 2020
Investigadores analizaron cómo el cambio rápido a clases en línea durante el confinamiento por COVID-19 afectó a estudiantes universitarios en China. Los resultados varían por materia y por las políticas locales.
Iniciativa en Ecuador contra la desinformación electoral
Un grupo en Ecuador revivió una sección local de Hacks Hackers y organizó una conferencia y un hackathon para combatir la desinformación electoral con tecnología. Tres equipos ganaron premios y recibirán mentoría para continuar sus prototipos.
