La dependencia de los gestores de contraseñas creció de manera acelerada. Según un estudio de 2024, un usuario promedio administra 168 claves distintas, un 68% más que cuatro años atrás.
La proliferación de servicios digitales y la necesidad de contraseñas únicas y robustas llevó a que millones de personas adoptaran aplicaciones especializadas para almacenarlas. Pero esa popularidad también las convirtió en objetivo prioritario para los ciberdelincuentes.
En este contexto, ESET publicó un análisis en el que identifica seis riesgos clave que afectan a los gestores de contraseñas y advierte cómo pueden los usuarios reforzar su seguridad.
La contraseña maestra es la llave del cofre. Si un atacante logra obtenerla, puede acceder a todas las credenciales almacenadas.
ESET explica que esto puede suceder a través de ataques de fuerza bruta, explotación de vulnerabilidades del software o incluso mediante páginas de phishing diseñadas para engañar al usuario.
Otro vector en crecimiento son los anuncios maliciosos que aparecen en búsquedas de Google y redirigen a sitios que imitan a gestores reales.
Allí se solicita correo, contraseña maestra y clave secreta. Algunos dominios fraudulentos detectados por los investigadores intentan pasar desapercibidos mediante pequeñas variaciones, como the1password[.]com o appbitwarden[.]com.
Detrás suele haber páginas de inicio de sesión prácticamente idénticas a las auténticas, cuyo único objetivo es robar accesos críticos.
Los investigadores de ESET detectaron campañas avanzadas dirigidas a usuarios de gestores de contraseñas.
Un caso reciente involucra al grupo norcoreano conocido como DeceptiveDevelopment, que distribuyó un malware llamado InvisibleFerret, capaz de extraer datos de extensiones de navegador y aplicaciones como 1Password o Dashlane y enviarlos a los atacantes mediante Telegram o FTP.
La infección se iniciaba a través de documentos descargados durante un proceso falso de entrevista laboral, aunque el mismo mecanismo podría replicarse vía correo electrónico, redes sociales o mensajes directos.
Los propios proveedores también pueden ser objetivo. En 2022, atacantes comprometieron el entorno de desarrollo de LastPass, desde donde robaron código, documentación interna y credenciales.
Con ese acceso pudieron llegar a copias de seguridad cifradas con datos de clientes. Aunque la información estaba protegida, los delincuentes lograron descifrarla, lo que derivó en un robo masivo de criptomonedas estimado en 150 millones de dólares.
Incluso los repositorios considerados seguros pueden fallar.
ESET recuerda que la App Store de Apple llegó a alojar una aplicación falsa de gestión de contraseñas diseñada para robar claves maestras o instalar malware adicional en los dispositivos.
Como cualquier programa, los gestores de contraseñas pueden contener errores explotables.
Un ciberdelincuente que encuentre una vulnerabilidad podría acceder a los almacenes de claves o comprometer complementos del navegador para robar credenciales e incluso códigos de autenticación de dos factores (2FA).
Cuantos más dispositivos tengan instalado el gestor, más superficie de ataque existe.
La compañía recomienda adoptar medidas adicionales para mitigar estos riesgos:
Crear una frase de contraseña maestra larga y única, preferentemente compuesta por varias palabras separadas por guiones.
Activar el 2FA en todos los servicios posibles.
Mantener actualizados navegadores, sistemas operativos y gestores.
Descargar aplicaciones únicamente desde tiendas oficiales y verificar desarrollador y reputación.
Elegir gestores de contraseñas de proveedores confiables.
Instalar soluciones de seguridad de reconocida trayectoria en todos los dispositivos.
"Los gestores de contraseñas siguen siendo parte clave de las mejores prácticas de ciberseguridad, pero requieren precauciones adicionales. Las amenazas evolucionan constantemente y es importante mantenerse informado", afirmó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.