Un grupo de analistas independientes de seguridad informática (ISE por sus siglas en inglés) de Maryland, EE.UU, han publicado un informe donde revelan vulnerabilidades en los administradores de contraseñas que se ejecutan en el sistema operativo Windows 10.
En el informe, los investigadores proponen las garantías de seguridad que estas herramientas deben ofrecer y analizan el funcionamiento subyacente de 5 gestores de contraseñas populares que se ejecutan en Windows 10.
Un gestor o administrador de contraseñas es una herramienta que recuerda las contraseñas de los usuarios y las almacena en una especie de ‘bóveda’ cifrada. Cuando necesitamos recuperar una contraseña o crear una clave nueva, se utiliza una contraseña maestra para desbloquear esta bóveda. Este proceso es imposible de rastrear con un detector de teclas.
Charlie Osborne, experto en seguridad de ZDNet, resumió la investigación y aseguró que los gestores de contraseñas tenían la capacidad de extraer credenciales de inicio de sesión de la memoria del ordenador mientras el administrador de contraseñas principal estaba bloqueado.
En 2017, PC World publicó un informe donde se asegura que, a pesar de los errores encontrados en los administradores de contraseñas, los expertos en seguridad informática coinciden en que estos gestores representan la manera más efectiva y segura para administrar una cuenta.
Los ISE centraron su análisis en los populares gestores de contraseñas 1Password, KeePass, Dashlane y LastPass. En concreto, las versiones específicas para Windows 10 que contienen las vulnerabilidades son las siguientes:
- 1Password4 v.4.6.2.626
- 1Password7 v.7.2.576
- DashLane v.6.1843.0
- KeePass Password Safe v.2.40
- LastPass para Aplicaciones v.4.1.59
En uno de los ejemplos del informe, la contraseña maestra que el usuario utiliza para acceder a la caché de sus credenciales fue almacenada por error en la memoria RAM del ordenador en texto sin formato y legible, exponiendo toda su información ante un posible hacker. Asimismo, la publicación asegura:
Los usuarios son llevados a creer que la información está segura cuando el administrador de contraseñas está bloqueado (…) Aunque, una vez que la contraseña maestra esté disponible para el atacante, pueden descifrar la base de datos del administrador de contraseñas, los secretos almacenados, los nombres de usuario y las contraseñas.
ISE logró extraer estas credenciales mientras el gestor de contraseñas estaba bloqueado. De esta manera, los investigadores consideran que un software malicioso de terceros instalado en la máquina puede llevar a cabo la misma acción.
A pesar de que las compañías detrás de los gestores de contraseña están conscientes de los riesgos de seguridad expuestos en el informe, no todas han visto con buenos ojos los resultados. Por ejemplo, Adrian Bednarek, investigador de ISE fue eliminado de la plataforma de recompensas de errores informáticos de la firma LastPass luego del informe.