Los gestores de contraseñas en la nube son populares porque facilitan el acceso y el compartir credenciales, pero también concentran datos muy sensibles, como credenciales de banca en línea y tarjetas de crédito, en bóvedas cifradas. Investigadores del Applied Cryptography Group en ETH Zurich analizaron tres servicios muy usados: Bitwarden, LastPass y Dashlane, que en conjunto atienden alrededor de 60 millones de usuarios y tienen una cuota de mercado del 23%.
El equipo —Matilda Backendal, Matteo Scarlata, Kenneth Paterson y Giovanni Torrisi, y con Backendal y Torrisi en la Università della Svizzera italiana en Lugano— montó servidores que imitaban un servidor comprometido para estudiar un modelo de amenaza de servidor malicioso. Demostraron 12 ataques contra Bitwarden, 7 contra LastPass y 6 contra Dashlane. Los ataques iban desde dirigirse a las bóvedas de usuarios concretos hasta comprometer todas las bóvedas de una organización; en muchos casos el equipo pudo acceder a las contraseñas y en ocasiones incluso cambiarlas. Las intrusiones se basaron en interacciones simples que los usuarios realizan normalmente, como iniciar sesión, abrir la bóveda, ver contraseñas o sincronizar datos.
Los investigadores dijeron estar sorprendidos por la gravedad de las vulnerabilidades. Señalaron que funciones añadidas para la usabilidad, como la recuperación de contraseñas y el compartir, complicaron la arquitectura y aumentaron la superficie de ataque, y que muchos proveedores aún usan tecnologías criptográficas antiguas de los 90. Los autores siguieron la divulgación responsable y dieron 90 días para corregir; la mayoría cooperó, aunque no todos actuaron con rapidez y algunos desarrolladores temen que las actualizaciones puedan provocar pérdida de acceso por parte de clientes.
- Recomendaciones: actualizar sistemas para nuevos clientes.
- Ofrecer a clientes existentes la opción de migrar y ser transparentes sobre seguridad.
- Preferir gestores con auditorías externas y cifrado de extremo a extremo por defecto.
Paterson declaró: "Queremos que nuestro trabajo contribuya a provocar un cambio en esta industria." Fuente: ETH Zurich.
Palabras difíciles
- bóveda — espacio seguro para guardar datos y contraseñasbóvedas, la bóveda
- cifrado — protección que transforma datos para que sean ilegiblescifradas
- superficie de ataque — partes de un sistema vulnerables a intrusiones
- divulgación responsable — informar vulnerabilidades a proveedores antes de hacerlas públicas
- auditoría — revisión externa que evalúa seguridad y prácticasauditorías
- recuperación — proceso para volver a obtener acceso perdido
- cuota de mercado — porcentaje del mercado controlado por una empresa
Consejo: pasa el cursor, enfoca o toca las palabras resaltadas en el artículo para ver definiciones rápidas mientras lees o audicións.
Preguntas de discusión
- ¿Qué riesgos concretos implica que los gestores en la nube concentren credenciales de banca y tarjetas de crédito? Explica con razones.
- Los investigadores recomiendan ofrecer a clientes existentes la opción de migrar y ser transparentes. ¿Qué ventajas y desventajas ves en esa propuesta?
- ¿Por qué es importante la divulgación responsable cuando se descubren vulnerabilidades? Da ejemplos de consecuencias positivas y negativas.
Artículos relacionados
Hija Kamran: la inteligencia artificial no es neutral
Hija Kamran, en una contribución a la serie «Don’t ask AI, ask a peer» y al Spotlight de Global Voices de abril de 2026, explica que la IA reproduce desigualdades y denuncia la falta de transparencia y responsabilidad empresarial.
Un estudio encuentra sesgos en consejos de IA cuando se revela el autismo
Investigadores de Virginia Tech analizaron cómo cambian las recomendaciones de grandes modelos de lenguaje cuando los usuarios dicen que son autistas. Hallaron que muchas respuestas reflejan estereotipos y piden más transparencia y control en los sistemas de IA.
Nuevas herramientas digitales dan más control a los agricultores
En el foro virtual ICTforAg (9-10 de marzo) expertos explicaron que tecnologías como Web3 y herramientas como FarmStack pueden dar a los agricultores más control sobre sus datos y mejorar servicios en países en desarrollo.