Según un estudio de 2024, en promedio un usuario de internet tiene unas 168 contraseñas para sus cuentas personales, un aumento del 68 por ciento con respecto a cuatro años antes. Dados los riesgos de seguridad asociados a compartir credenciales entre cuentas y al uso de contraseñas fáciles de adivinar, la mayoría de los usuarios utilizan gestores de contraseñas que permiten almacenar y recordar contraseñas largas, seguras y únicas para cada una de las cuentas en línea.
En este contexto, la empresa de ciberseguridad ESET Latinoamérica advierte que los mismos se han convertido en un objetivo popular para los ciberdelincuentes y comparte seis riesgos potenciales y algunas ideas para mitigarlos.
Con acceso a las credenciales almacenadas en un gestor de contraseñas, los actores de amenazas podrían secuestrar sus cuentas para cometer fraude de identidad, o vender accesos/contraseñas a otros. Por eso siempre están buscando nuevas formas de atacar.
Por ello, se compartieron 6 problemas a los que prestar atención especialmente:
Compromiso de la contraseña maestra: Si los ciberdelincuentes consiguen hacerse de esa contraseña maestra, obtendrán un acceso total a la cuenta. Por ejemplo, pueden obtenerla mediante un ataque de “fuerza bruta” en el que utilizan herramientas automatizadas para probar diferentes contraseñas repetidamente.
Anuncios de phishing/estafa: Los actores de amenazas publican anuncios maliciosos en búsquedas de Google diseñados para atraer a las víctimas a sitios falsos que recopilan su dirección de correo electrónico, contraseña maestra y clave secreta.
Malware para robar contraseñas: En el ingenio que aplican los ciberdelincuentes, algunos han desarrollado malware para robar credenciales de los gestores de contraseñas de las víctimas.
Los proveedores de gestores de contraseñas saben que son uno de los principales objetivos de las amenazas. Por eso dedican mucho tiempo y recursos a hacer que sus entornos informáticos sean lo más seguros posible.
Aplicaciones falsas de gestión de contraseñas: A veces, los ciberdelincuentes se aprovechan de la popularidad de los gestores de contraseñas para intentar robar contraseñas y propagar malware a través de aplicaciones falsas.
Explotación de vulnerabilidades: Los gestores de contraseñas no son más que software, y al estar escrito (en su mayoría) por humanos inevitablemente contiene vulnerabilidades. Si un ciberdelincuente se las arregla para encontrar y explotar uno de estos errores, puede ser capaz de obtener credenciales de su almacén de contraseñas.
Para protegerse de las amenazas mencionadas, desde ESET recomiendan tener en cuenta los siguientes puntos:
Piense en una frase de contraseña maestra segura, larga y única; Aumente siempre la seguridad de tus cuentas activando el 2FA; Mantenga actualizados los navegadores, los gestores de contraseñas y los sistemas operativos para que tengan las versiones más seguras; Descargue únicamente aplicaciones de una tienda de aplicaciones legítima (Google Play, App Store); Elija solo un gestor de contraseñas de un proveedor de confianza. Compara precios hasta que encuentres uno con el que te sientas cómodo; Asegúrese de instalar software de seguridad de un proveedor de confianza en todos los dispositivos, para mitigar la amenaza de ataques diseñados para robar contraseñas.