El creciente uso de contraseñas en Internet ha llevado a un aumento significativo en los riesgos de seguridad, convirtiéndose en una preocupación crucial para los usuarios. Según un estudio reciente, se estima que el usuario promedio tiene alrededor de 168 contraseñas para sus cuentas personales, lo que representa un incremento del 68% en comparación con cuatro años atrás. Para gestionar esta creciente carga de credenciales, muchos han optado por utilizar administradores de contraseñas, herramientas diseñadas para almacenar y recordar contraseñas largas, fuertes y únicas.
No obstante, estos administradores no son infalibles y se han convertido en un objetivo atractivo para los ciberdelincuentes. Aquí se presentan seis riesgos potenciales asociados a su uso y algunas soluciones para mitigarlos.
La primera preocupación es la posible comprometida del «master password». Aunque el uso de una sola contraseña para acceder a un cofrecito digital es conveniente, si un atacante logra obtener esta contraseña mediante técnicas como ataques de «fuerza bruta», puede acceder a todas las credenciales almacenadas. La explotación de vulnerabilidades en el software del administrador o engañar a los usuarios a través de páginas de phishing también son métodos comunes de ataque.
En segundo lugar, los anuncios de phishing representan otra amenaza. Ciberdelincuentes han sido conocidos por crear anuncios maliciosos que dirigen a los usuarios a sitios falsos diseñados para robar su información. Estas páginas pueden parecer legítimas, pero su objetivo es obtener el acceso a la cuenta del usuario.
Asimismo, el malware diseñado para robar contraseñas es un problema cada vez más frecuente. Investigaciones recientes han revelado que algunos delincuentes han desarrollado software malicioso para infiltrarse en administradores de contraseñas y robar credenciales. Un caso notable fue el de una campaña respaldada por el Estado norcoreano que utilizó malware oculto en archivos de vista previa de un proceso de selección de empleo falso.
El cuarto riesgo es la posibilidad de una violación de seguridad de la propia empresa de administración de contraseñas. A pesar de que estas empresas invierten considerablemente en seguridad, un error puede llevar a que los delincuentes accedan a datos críticos. Un ejemplo es lo sucedido con LastPass en 2022, donde se comprometió la información de los clientes, lo cual llevó a un robo significativo de criptomonedas.
La proliferación de aplicaciones fraudulentas que imitan a los administradores de contraseñas populares también es motivo de preocupación. Estas aplicaciones están diseñadas para robar contraseñas o introducir malware en los dispositivos de los usuarios. En algunos casos, incluso han logrado ser aprobadas en tiendas de aplicaciones oficiales.
Por último, el software siempre es susceptible a vulnerabilidades. Los administradores de contraseñas, al igual que cualquier software, pueden contener fallas que los atacantes pueden explotar para acceder a las credenciales del usuario.
Para mitigar estos riesgos, se sugieren diversas medidas de seguridad. Es recomendable usar una frase de paso larga y única, activar la autenticación de dos factores y mantener actualizados los navegadores y sistemas operativos. Además, siempre se debe descargar aplicaciones solo de fuentes legítimas y seleccionar administradores de contraseñas de proveedores reconocidos.
La utilización de administradores de contraseñas es una práctica clave dentro de la ciberseguridad, pero requiere un enfoque proactivo para asegurar que las credenciales en línea permanezcan protegidas. Mantenerse informado sobre las amenazas actuales es fundamental para salvaguardar nuestra vida digital.
Fuente: WeLiveSecurity by eSet.
