Los principales gestores de contraseñas, afectados por una nueva vulnerabilidad
Afirma la creencia popular que no hay casi nada mejor que utilizar un gestor de contraseñas para que nuestras credenciales estén a salvo. Que usar programas como Lastpass, 1Password, Dashline o Keepass mantiene nuestras contraseñas seguras, prácticamente inalcanzables para los cibercriminales.
No tan rápido. Una reciente investigación llevada a cabo por la consultora ISE (Independent Security Evaluators) ha descubierto una vulnerabilidad común en todos estos programas, de modo que un potencial atacante podría desarrollar un malware capaz de hacerse bien con la llave maestra que da acceso a nuestra “caja fuerte” de contraseñas o bien extraer registros de forma individualizada.
Al parecer el problema que se ha encontrado, tiene que ver con la gestión de memoria que realizan este tipo de programas. Cada uno de los programas analizados copian las contraseñas almacenadas, en la memoria RAM del dispositivo, y aunque una vez utilizadas las borran casi inmediatamente, no siempre consiguen hacerlo con éxito. Así las cosas, un malware que tuviera privilegios de administrador, podría sin lugar a dudas recuperar esas contraseñas.
Y hasta aquí las malas noticias. En primer lugar, porque si nuestro equipo ha sido infectado por malware (por ejemplo spyware) probablemente los cibercriminales ya hayan obtenido algunas de nuestras contraseñas de cualquier otra forma, por ejemplo, registrando nuestras pulsaciones sobre el teclado.
Por otro lado, teniendo en cuenta que la vulnerabilidad almacena parte de nuestras contraseñas en la RAM, este teórico malware sólo sería efectivo en el momento en el que el software (Lastpass, 1Pssword, etc.) se esté utilizando y únicamente afectaría a las contraseñas que en ese momento estuviesen en memoria, no a las almacenadas en disco. Incluso si hubiese un método para extraer las segundas del disco, afirman desde esta consultora, “poner en marcha un ataque de fuerza bruta para descifrar la llave maestra, sería computacionalmente prohibitivo”
Dicho de otra forma, más que un intento de hacer cundir el pánico sobre la inseguridad de nuestros gestores de contraseñas, la investigación de ISE es un toque de atención para que los desarrolladores de esos programas tomen nota y corrijan lo antes posible esa vulnerabilidad.
Via: www.muyseguridad.net