Gestores de contraseñas: ¿son realmente seguros?
Quizá hoy sea uno de esos días en los que me tenga que ir a dormir con cierto cargo de conciencia. Y la culpa de ello la tienen los gestores de contraseñas. Me explico: hace ya muchos años que recomiendo encarecidamente el uso de este tipo de herramientas, tanto para entornos profesionales como para particulares. Y, por norma general, me parece que son herramientas muy confiables, y que nos permiten emplear contraseñas bastante complejas sin perder la cabeza intentando recordarlas en cada inicio de sesión. Sin embargo, según un informe publicado por la Universidad de York, Reino Unido, parece que estas herramientas no son tan seguras como podía parecer.
¿Y en qué consiste la investigación? Los autores de la misma han analizado el mercado de apps y servicios para la gestión de claves y, tras valorar el peso de los mismos en el mercado, se han quedado con cinco muy empleados y que ofrecían las funciones que se buscaban. Estos son 1Password, Dashlane, Keeper, LastPass y Roboform. En la selección, aunque se tuvo en cuenta las funciones de gestión de contraseñas de algunos navegadores web, finalmente no se incluyeron en el estudio por no ajustarse a los parámetros previamente definidos para el estudio.
A su vez, a la hora de evaluar la seguridad de estas soluciones, por una parte se buscó documentación sobre fallos ya detectados anteriormente, y por otra parte se realizó una nueva prueba, inédita hasta el momento, con el fin de determinar si los desarrolladores de estos servicios ya habían tenido en cuenta dicha amenaza. Y el resultado, desgraciadamente, es un tanto desalentador, ya que hay «viejos conocidos» que siguen estando ahí.
¿Cuáles son los problemas de los gestores de contraseñas?
Un ejemplo preocupante de estos problemas históricos de los gestores de contraseñas está relacionado con la clave de acceso al repositorio personal de contraseñas. Muchos de estos servicios permiten la autenticación mediante un código PIN. Y estamos de acuerdo en que, para el común de los usuarios, emplear este sistema es una mala idea, pues un PIN siempre será más inseguro que una buena contraseña. No obstante, este sistema sería razonablemente seguro si ofreciera protección frente a ataques de fuerza bruta. Algo que, desgraciadamente, no ocurre en todos los casos. Sí, en determinadas circunstancias, es posible realizar este tipo de ataques y lograr acceso a las claves en una media de dos horas y media.
Otro problema muy común es que las apps no distinguen entre conexiones http y https a la hora de autocompletar los datos de acceso en un servicio web. Y el problema, como bien sabemos, es que podemos encontrarnos casos (afortunadamente cada vez menos) de servicios que mantienen ambas modalidades de conexión. Y, aunque por norma general ya lo hace el navegador, también el cliente de los gestores de contraseñas debería detectar esta situación y alertarnos si intentamos hacer login a través de una página no segura.
¿Y qué decir de los subdominios? Esta es, sin duda, una de las asignaturas pendientes de este tipo de soluciones. Es común emplear diversos subdominios para ofrecer diversos servicios que, no necesariamente, compartirán los mismos logins (y, de ser así, es probable que tampoco cuenten con las mismas medidas de seguridad). Sin embargo, los servicios probados en este test se mostraron incapaces de detectar esta circunstancia y, por tanto, de discriminar credenciales en base al subdominio concreto.
Nada de esto es nuevo, pero sigue sin ser solucionado por los responsables de dichos servicios. Así que te estarás preguntando, ¿y qué es lo que han descubierto estos investigadores? Pues está relacionado con las apps y Android. Y es que, una app fraudulenta diseñada para suplantar la identidad de una legítima, puede engañar a los gestores de contraseñas y, rápida y cómodamente, obtener las credenciales de acceso al servicio cuya identidad está suplantando.
En palabras del autor del estudio, Dr Siamak Shahandashti, “Our study shows that a phishing attack from a malicious app is highly feasible – if a victim is tricked into installing a malicious app it will be able to present itself as a legitimate option on the autofill prompt and have a high chance of success”. Sí, basta con que la app maliciosa aparente ser la legítima para que los gestores de contraseñas, en muchos casos, empleen las credenciales correctas, poniéndolas así en manos de los ciberdelincuentes.
El problema es, por lo tanto, que el sistema que emplean los gestores parece centrarse más en la identificación que en la confirmación de la identidad. Un modelo que puede resultar muy peligroso en el momento en el que los usuarios descargan, por la razón que sea, apps que no provienen de fuentes de confianza. Y sí, es cierto que en este caso la seguridad se ve comprometida por un mal uso por parte del usuario, pero los responsables de este tipo de servicios deben tener en cuenta que esto ocurre, y deben blindar sus apps ante esta amenaza.
¿Y cómo hacerlo? Deben mejorar los sistemas de identificación de las apps. Sea con certificados, firmas, claves HASH… son múltiples las posibilidades, y evidentemente exigen de una colaboración entre todas las partes implicadas. Se trata de un esfuerzo importante, pero el potencial de esta amenaza es tremendamente alto, por lo que se trata de un esfuerzo necesario para que los gestores de contraseñas se mantengan como una solución de seguridad recomendable para todos.
Lectura recomendada: Guía de buenas prácticas para las contraseñas.
La entrada Gestores de contraseñas: ¿son realmente seguros? es original de MuySeguridad. Seguridad informática.
Powered by WPeMatico
