Nmedia - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Gestor de contraseñas Keeper con fallas, preinstalado en Windows 10

Tavis Ormandy de Google Project Zero descubrió un defecto en la extensión para navegador del administrador de contraseñas de Keeper, que podría permitir a los atacantes robar credenciales.

Después de enterarse de la última falla encontrada en un administrador de contraseñas, algunos expertos dijeron que el aspecto más vulnerable de estos programas también es lo que los hace más convenientes.

Tavis Ormandy, portador de pesadillas para desarrolladores e investigador de seguridad en Project Zero de Google, descubrió un problema en la extensión para navegador del administrador de contraseñas Keeper que podría permitir a un atacante robar credenciales del usuario. Ormandy dijo que el problema era especialmente preocupante porque el administrador de contraseñas Keeper está instalado por defecto en Windows 10 y el error es muy similar a otro problema de inyección de código que encontró en Keeper en agosto de 2016.

"Comprobé y están haciendo lo mismo otra vez con esta versión. Creo que estoy siendo generoso considerando esto como un nuevo problema que califica para una revelación de noventa días, ya que literalmente solo cambié los selectores y el mismo ataque funciona”, escribió Ormandy en su informe de errores. "Sin embargo, este es un compromiso total de la seguridad de Keeper, que permite que cualquier sitio web robe cualquier contraseña".

De acuerdo con una publicación del blog sobre la falla, Craig Lurey, CTO y cofundador de Keeper Security Inc., con sede en El Dorado Hills, California, dijo que el problema fue causado por una nueva función agregada en el gestor de contraseñas Keeper versión 11.3 y publicada el 8 de diciembre de 2017.

Lurey dijo que la falla del administrador de contraseñas de Keeper se corrigió dentro de las 24 horas posteriores a que la compañía recibiera el informe de Ormandy.

"Para resolver este problema, eliminamos el flujo 'Agregar a existente' y hemos tomado medidas adicionales para evitar esta potencial vulnerabilidad en el futuro", escribió Lurey en la publicación del blog. "A pesar de que los clientes no se vieron afectados negativamente por esta vulnerabilidad potencial, tomamos en serio todos los problemas de seguridad, vulnerabilidades y reportes de errores informados. La seguridad y protección de la información y los datos del cliente es nuestra principal prioridad en Keeper".

Lurey afirmó que las versiones para dispositivos móviles y de escritorio del administrador de contraseñas Keeper no se vieron afectadas, y que ya se lanzó una versión actualizada de la extensión del navegador para Microsoft Edge, Google Chrome y Mozilla Firefox. Los usuarios de Apple Safari deberán actualizar manualmente.

Seguridad del administrador de contraseñas

Los expertos estaban algo divididos sobre el valor de software como el administrador de contraseñas Keeper, con algunos diciendo que los administradores de contraseñas siguen siendo la mejor opción, mientras que otros presionan por abandonar las contraseñas únicas en favor de la autenticación multifactorial y la biometría.

Lamar Bailey, directora senior de investigación y desarrollo de seguridad en Tripwire, resumió mejor el sentimiento.

"Muchas personas confían en los administradores de contraseñas para realizar un seguimiento de todas las contraseñas requeridas que necesitan para acceder a todos los sitios visitados diariamente. Es bueno que se hayan vuelto populares y que las personas no reutilicen contraseñas, pero esto también significa que se han convertido en un objetivo para los hackers", dijo Bailey a SearchSecurity. "Si un pirata informático obtiene acceso a una bóveda de contraseñas, literalmente tiene acceso a cientos de contraseñas y posiblemente tarjetas de crédito, números de seguridad social u otra información personal. Cualquier vulnerabilidad que permita a un atacante acceder a una bóveda debe tratarse con la más alta prioridad posible".

Otros dijeron que los beneficios de los administradores de contraseñas superan los riesgos siempre que los usuarios sigan las "mejores prácticas". Sin embargo, algunos expertos dijeron que esas mejores prácticas incluyen evitar las opciones de autocompletar dentro de los navegadores que pueden hacer que los gestores sean tan convenientes.

Stephen Coty, jefe evangelista de seguridad de Alert Logic, dijo que los usuarios no deberían tener navegadores guardando sus contraseñas, independientemente de si están o no en la extensión del gestor de contraseñas Keeper.

"Si bien es muy conveniente que su navegador guarde contraseñas para algunos de sus sitios más frecuentados como Netflix, Amazon o Hulu, es una práctica de seguridad realmente mala", dijo Coty a SearchSecurity. "Tener una contraseña segura y mantenerla localmente en su persona, ya sea en una memoria USB en un llavero o ubicada en su teléfono inteligente, no tiene que ser compartida con la nube o su navegador. Manténgala como algo personal".

John Steven, director senior de Synopsys, dijo que las mejores implementaciones de administrador de contraseñas se pueden encontrar con aplicaciones en iOS.

"En este escenario, el usuario debe cambiar entre la aplicación en la que se está autenticando y la aplicación móvil por separado. El usuario corta y pega sus credenciales entre los dos. Esta compartimentación no permite los tipos de explotación que estamos viendo una y otra vez, pero con un alto costo de conveniencia", dijo Steven a SearchSecurity. "En lugar de derrotar el cifrado subyacente que protege las credenciales de los usuarios, muchas de estas vulnerabilidades atacan las interfaces de los administradores de contraseñas o las APIs que los conectan con el navegador al que sirven".

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close