Clicky

Investigadores exponen vulnerabilidades de los administradores de contraseñas

Los hackers podrían adivinar un PIN de cuatro dígitos en alrededor de 2.5 horas

Algunos administradores de contraseñas comerciales pueden ser vulnerables al ciberataque de aplicaciones falsas, sugiere una reciente investigación.

Los expertos en seguridad recomiendan usar una contraseña compleja, aleatoria y única para cada cuenta en línea, pero recordarlas todas sería una difícil tarea. Ahí es donde son útiles los administradores de contraseñas.

Las bóvedas cifradas a las que se accede mediante una única contraseña maestra o PIN, almacenan y rellenan automáticamente las credenciales para el usuario y son altamente recomendadas por el Centro Nacional de Seguridad Cibernética del Reino Unido.

 

Sin embargo, los investigadores de la Universidad de York han demostrado que algunos administradores de contraseñas comerciales pueden no ser una forma hermética para garantizar la seguridad informática.

Después de crear una aplicación maliciosa para hacerse pasar por una aplicación legítima de Google, pudieron engañar a dos de los cinco administradores de contraseñas que probaron para que regalaran una contraseña.

El equipo de investigación descubrió que algunos de los administradores de contraseñas utilizaron criterios débiles para identificar una aplicación y qué nombre de usuario y contraseña sugerir para autocompletar. Esta debilidad permitió a los investigadores hacerse pasar por una aplicación legítima simplemente creando una aplicación no autorizada con un nombre idéntico.

El autor principal del estudio, el Dr. Siamak Shahandashti del Departamento de Informática de la Universidad de York, dijo: "Las vulnerabilidades en los administradores de contraseñas brindan oportunidades a los piratas informáticos para extraer credenciales, comprometer la información comercial o violar la información de los empleados. Debido a que son los guardianes de una gran cantidad de información confidencial, es crucial el análisis riguroso de seguridad de los administradores de contraseñas".

"Nuestro estudio muestra que es altamente factible un ataque de phishing de una aplicación maliciosa: si se engaña a una víctima para que instale una aplicación maliciosa, podrá presentarse como una opción legítima en el indicador de autocompletar y tendrá una alta probabilidad de éxito".

"A la luz de las vulnerabilidades en algunos administradores de contraseñas comerciales que nuestro estudio ha expuesto, sugerimos que necesiten aplicar criterios de coincidencia más estrictos que no se basen simplemente en el supuesto nombre del paquete de una aplicación".

Los investigadores también descubrieron que algunos administradores de contraseñas no tenían un límite en la cantidad de veces que se podía ingresar un PIN o contraseña maestra. Esto significa que si los hackers tuvieran acceso al dispositivo de un individuo, podrían lanzar un ataque de "fuerza bruta", adivinando un PIN de cuatro dígitos en alrededor de 2.5 horas.

Además de estas nuevas vulnerabilidades, los investigadores también elaboraron una lista de vulnerabilidades previamente divulgadas identificadas en un estudio anterior y probaron si se habían resuelto. Descubrieron que, si bien se resolvieron los problemas más graves, muchos no se abordaron.

Los investigadores revelaron estas vulnerabilidades a los administradores de contraseñas.

El autor principal del estudio, Michael Carr, quien realizó la investigación mientras estudiaba para su Maestría en Seguridad Cibernética en el Departamento de Informática de la Universidad de York, dijo: "Se encontraron nuevas vulnerabilidades a través de pruebas exhaustivas y se divulgaron de manera responsable a los proveedores. Algunas se solucionaron de inmediato mientras que otras se consideraron de baja prioridad".

"Se necesita más investigación para desarrollar modelos de seguridad rigurosos para los administradores de contraseñas, pero aún así aconsejaríamos a las personas y a las empresas que los usen, ya que siguen siendo una opción más segura y utilizable. Si bien no es imposible, los hackers tendrían que lanzar un ataque bastante sofisticado para acceder a la información que almacenan".

"Revisiting Security Vulnerabilities in Commercial Password Managers" se presentará en la 35ª Conferencia Internacional sobre Seguridad de los Sistemas TIC y Protección de la Privacidad (IFIP SEC 2020) en septiembre de 2020.

Jesus_Caceres