Los gestores de contraseñas en la nube son populares porque facilitan el acceso y el compartir credenciales, pero también concentran datos muy sensibles, como credenciales de banca en línea y tarjetas de crédito, en bóvedas cifradas. Investigadores del Applied Cryptography Group en ETH Zurich analizaron tres servicios muy usados: Bitwarden, LastPass y Dashlane, que en conjunto atienden alrededor de 60 millones de usuarios y tienen una cuota de mercado del 23%.
El equipo —Matilda Backendal, Matteo Scarlata, Kenneth Paterson y Giovanni Torrisi, y con Backendal y Torrisi en la Università della Svizzera italiana en Lugano— montó servidores que imitaban un servidor comprometido para estudiar un modelo de amenaza de servidor malicioso. Demostraron 12 ataques contra Bitwarden, 7 contra LastPass y 6 contra Dashlane. Los ataques iban desde dirigirse a las bóvedas de usuarios concretos hasta comprometer todas las bóvedas de una organización; en muchos casos el equipo pudo acceder a las contraseñas y en ocasiones incluso cambiarlas. Las intrusiones se basaron en interacciones simples que los usuarios realizan normalmente, como iniciar sesión, abrir la bóveda, ver contraseñas o sincronizar datos.
Los investigadores dijeron estar sorprendidos por la gravedad de las vulnerabilidades. Señalaron que funciones añadidas para la usabilidad, como la recuperación de contraseñas y el compartir, complicaron la arquitectura y aumentaron la superficie de ataque, y que muchos proveedores aún usan tecnologías criptográficas antiguas de los 90. Los autores siguieron la divulgación responsable y dieron 90 días para corregir; la mayoría cooperó, aunque no todos actuaron con rapidez y algunos desarrolladores temen que las actualizaciones puedan provocar pérdida de acceso por parte de clientes.
- Recomendaciones: actualizar sistemas para nuevos clientes.
- Ofrecer a clientes existentes la opción de migrar y ser transparentes sobre seguridad.
- Preferir gestores con auditorías externas y cifrado de extremo a extremo por defecto.
Paterson declaró: "Queremos que nuestro trabajo contribuya a provocar un cambio en esta industria." Fuente: ETH Zurich.
Palabras difíciles
- bóveda — espacio seguro para guardar datos y contraseñasbóvedas, la bóveda
- cifrado — protección que transforma datos para que sean ilegiblescifradas
- superficie de ataque — partes de un sistema vulnerables a intrusiones
- divulgación responsable — informar vulnerabilidades a proveedores antes de hacerlas públicas
- auditoría — revisión externa que evalúa seguridad y prácticasauditorías
- recuperación — proceso para volver a obtener acceso perdido
- cuota de mercado — porcentaje del mercado controlado por una empresa
Consejo: pasa el cursor, enfoca o toca las palabras resaltadas en el artículo para ver definiciones rápidas mientras lees o escuchas.
Preguntas de discusión
- ¿Qué riesgos concretos implica que los gestores en la nube concentren credenciales de banca y tarjetas de crédito? Explica con razones.
- Los investigadores recomiendan ofrecer a clientes existentes la opción de migrar y ser transparentes. ¿Qué ventajas y desventajas ves en esa propuesta?
- ¿Por qué es importante la divulgación responsable cuando se descubren vulnerabilidades? Da ejemplos de consecuencias positivas y negativas.
Artículos relacionados
La complejidad del mundo real produce sesgo en la IA
Un estudio de la Universidad de Texas en Austin concluye que una causa importante del sesgo en la inteligencia artificial es la incapacidad para modelar la complejidad del mundo real. Identifica tres factores que aumentan ese riesgo.
Ciberamenazas en la cumbre entre la Unión Africana y la Unión Europea
La cumbre AUEU en Luanda puso las amenazas digitales en el centro. Periodistas sufren vigilancia y Kenia registró miles de millones de ciberataques. Líderes pidieron más protección, normas comunes e inversión a largo plazo.