Aumentan los ataques a gestores de contraseñas: estas son las 3 amenazas latentes

Los gestores de contraseñas atraviesan un momento crítico. Aunque se han convertido en una pieza central para la vida digital, los ataques contra estas herramientas se han intensificado y hoy representan un riesgo directo para las cuentas personales y corporativas.

Investigadores de ESET alertan que los ciberdelincuentes están diversificando sus métodos para comprometer estos servicios, desde campañas de ‘phishing’ hasta aplicaciones falsas que imitan a las originales. La advertencia principal es clara: ya no basta con utilizar un gestor, también es necesario protegerlo activamente.

El aumento de amenazas coincide con un panorama de mayor complejidad digital. La cantidad de servicios que exigen registro crece año tras año, y con ello, también lo hace el número de contraseñas que cada persona debe manejar.

Un informe de NordPass publicado en 2024 señala que el usuario promedio gestiona hoy un 68 % más de claves que hace cuatro años, alcanzando una media de 168 por persona. Este volumen no solo incrementa la probabilidad de olvidos o repeticiones, sino que también eleva los riesgos cuando estas contraseñas son débiles o se reutilizan en múltiples plataformas.

En este contexto, los gestores de contraseñas surgieron como una solución para generar y almacenar claves robustas y únicas, reduciendo la dependencia de la memoria y mejorando la seguridad general. Sin embargo, su papel central los ha convertido en un objetivo de alto valor para los atacantes. La posibilidad de acceder a todas las contraseñas de un usuario desde un único punto hace que los ciberdelincuentes concentren esfuerzos en vulnerar estos sistemas, ya sea de manera directa o a través de técnicas que buscan engañar al usuario.

En ese sentido, los especialistas han identificado seis riesgos clave que están ganando terreno. El primero y más crítico es el robo de la contraseña maestra. Esta clave es la puerta de acceso a toda la bóveda digital, por lo que su compromiso puede dar control total a un atacante. Los riesgos incluyen ataques de fuerza bruta, fallos en el software o páginas falsas diseñadas para capturar datos.

El segundo riesgo está vinculado al ‘phishing’ y a la publicidad maliciosa. Los expertos han detectado anuncios en buscadores que redirigen a réplicas exactas de gestores conocidos. Estos sitios falsos solicitan la contraseña maestra y el correo del usuario, capturando ambos datos sin levantar sospechas.

El tercer peligro proviene del ‘malware’ especializado. Los criminales están desarrollando herramientas capaces de extraer información directamente del navegador o del gestor. Un ejemplo reciente es la operación norcoreana ‘DeceptiveDevelopment’, en la que se utilizó el ‘malware’ InvisibleFerret para robar datos de servicios como 1Password o Dashlane, enviándolos a través de canales como Telegram o servidores FTP.

El cuarto riesgo se relaciona con las brechas en proveedores. Incluso las empresas más consolidadas han enfrentado incidentes. LastPass sufrió dos compromisos importantes en 2022 que derivaron en el robo de código fuente, documentación interna y copias cifradas de bóvedas de clientes. Estos ataques se vincularon posteriormente con robos millonarios en criptomonedas.

Además, ESET advierte sobre vulnerabilidades en el software de los gestores (quinto riesgo), que pueden abrir la puerta a la extracción de credenciales o códigos de autenticación en dos pasos. A esto se suma la sincronización entre múltiples dispositivos, que amplía la superficie de ataque. Finalmente, el sexto riesgo incluye la presencia de aplicaciones falsas en tiendas oficiales, creadas para robar la contraseña maestra o instalar ‘malware’ en el equipo.

Frente a este escenario, los especialistas recomiendan adoptar medidas adicionales de protección. La primera es crear una contraseña maestra larga, única y difícil de predecir, idealmente formada por varias palabras unidas. También es esencial habilitar la autenticación multifactor (2FA), mantener todos los dispositivos y aplicaciones actualizados, y descargar software únicamente desde tiendas oficiales verificando siempre el nombre del desarrollador.