Un tema que siempre ha dado de que hablar es el tema de la seguridad de las contraseñas y es que desde la elección de estas hasta el cómo almacenarlas para su posterior uso, es algo con lo cual se debe tomar especial atención.
Y es que una de las soluciones que han funcionado «bien» hasta cierto punto son los gestores de contraseñas o mejor conocidos como «administradores de contraseñas», los cuales se encargan de almacenar, proporcionar las credenciales de acceso en formularios y sobre todo de sugerir contraseñas seguras al usuario.
De estos, hemos hablado de varios aquí en el blog, se han recomendado e incluso diversos navegadores web ya han implementado su solución y para el caso de este artículo hablaremos del de Chrome.
Ya que cada vez que un usuario de Chrome inicia sesión en un sitio o plataforma de redes sociales, tiene la opción de guardar sus datos de inicio de sesión para no tener que volver a ingresar sus credenciales la próxima vez.
Sin embargo, la firma de seguridad cibernética ESET cree que si bien esta función puede ahorrar tiempo a los usuarios, no puede proteger sus contraseñas y credenciales de los hackers.
Y es que en un informe de la empresa eslovaca ESET aborda el tema de la seguridad de las contraseñas, si los usuarios deben confiar en dicha función de administración de contraseñas y qué puede suceder si las cosas salen mal.
Si un hacker irrumpe en el sistema, tendrá acceso ilimitado a la información de navegación del usuario, así como a todos los datos instalados y guardados en el dispositivo. No solo eso, sino que incluso las contraseñas guardadas en Google Chrome estarán en manos de los atacantes. No es la primera vez que se produce un ataque de este tipo.
Hace tiempo que los hackers se abrieron paso en los archivos donde los usuarios guardan todas sus contraseñas y otra información valiosa, como los datos bancarios.
El archivo de datos de conexión guardado está presente en la carpeta de la base de datos en el almacenamiento local. A continuación, se utiliza «DB Browser for SQLite» para extraer todos los datos almacenados en el archivo. Estos datos incluyen enlaces, nombre de usuario y código de acceso.
Aunque los datos grabados están encriptados, el hacker tiene la ventaja de poder controlar el dispositivo de la víctima. Así, la contraseña se decodifica gracias a CryptUnprotectData.
Si un hacker realiza estas funciones manualmente, por otro lado, el malware especialmente programado puede descifrar la información al instante. No solo el malware, sino que incluso algunos enlaces en línea pueden tener errores ocultos que pueden albergar dicho malware capaz de apoderarse de cualquier sistema.
Es por eso que la mejor manera de evitar que suceda este tipo de cosas es no guardar contraseñas importantes relacionadas con bancos, registros médicos o cualquier plataforma importante de redes sociales.
Y aunque muchos podrán decir que para que esto suceda el atacante debe tener acceso al ordenador, debemos saber que cualquier persona con los conocimientos suficientes podrá acceder al ordenó de la víctima, ya sea de manera presencial o incitando a la víctima a que realicé alguna acción (dígase instalar, dar información relevante o cualquier otro método que lo lleve a lograr el acceso).
O como tambien se menciona, basta con que instale algo diseñado por el hacker para que este pueda simplemente obtener la base de datos y posteriormente obtener los datos de su interés.
Finalmente, cabe mencionar que en si no es algo nuevo ni tampoco el descubrimiento de la rueda, el cómo pueden ver las contraseñas almacenadas en un navegador.
Lo que si vale la pena mencionar es que tanto los desarrolladores de los navegadores, investigadores, firmas, entre otros, han tomado en cuenta todo esto y han modificado en el caso de Chrome por hablar de este artículo, que para ver las contraseñas se deba recurrir usar las credenciales de acceso al sistema, como por ejemplo en el caso de Windows, pero sigue siendo sin ser suficiente.
Es por ello que aquí recomendamos el uso de administradores de contraseñas multiplataforma y sobre todo open source.