Los últimos meses han sido difíciles para los administradores de contraseñas, pero sobre todo para LastPass. Pero después de las revelaciones de que LastPass había sufrido una brecha importante, ahora la atención se dirige al administrador de código abierto KeePass.
Han estado circulando acusaciones de que una nueva vulnerabilidad permite a los piratas informáticos robar subrepticiamente la base de datos de contraseñas completa de un usuario en texto sin cifrar. Este es un reclamo increíblemente serio, pero los desarrolladores de KeePass lo disputan.
KeePass es un administrador de contraseñas de código abierto que almacena su contenido en el dispositivo de un usuario, en lugar de en la nube como las ofertas de la competencia. Sin embargo, como muchas otras aplicaciones, su bóveda de contraseñas se puede proteger con una contraseña maestra.
La vulnerabilidad, registrada como CVE-2023-24055, es accesible para cualquier persona con acceso de escritura al sistema de un usuario. Una vez que se ha obtenido esto, un atacante puede agregar comandos al archivo de configuración XML de KeePass que exporta automáticamente la base de datos de la aplicación, incluidos todos los nombres de usuario y contraseñas, a un archivo en texto sin cifrar.
Con los cambios en el archivo XML, el proceso ocurre automáticamente en segundo plano, por lo que los usuarios no reciben una alerta de que su base de datos se ha exportado. El actor de amenazas puede luego extraer la base de datos exportada a una computadora o servidor bajo su control.
no se arreglará
Sin embargo, los desarrolladores de KeePass cuestionaron la clasificación del proceso como una vulnerabilidad, ya que cualquier persona con acceso de escritura a un dispositivo puede obtener la base de datos de contraseñas utilizando diferentes métodos (a veces más simples).
En otras palabras, una vez que alguien tiene acceso a su dispositivo, este tipo de exploit XML es inútil. Los atacantes podrían instalar un keylogger para obtener la contraseña maestra, por ejemplo. El razonamiento es que preocuparse por este tipo de ataque es como cerrar la puerta después de que el caballo se ha escapado. Si un atacante tiene acceso a su computadora, parchear el exploit XML no ayudará.
La solución, según los desarrolladores, es “asegurar el entorno (utilizando un software antivirus, un cortafuegos, no abriendo archivos adjuntos desconocidos, etc.). KeePass no puede funcionar mágicamente de forma segura en un entorno inseguro.
¿Qué puedes hacer?
Aunque los desarrolladores de KeePass parecen no estar dispuestos a solucionar el problema, usted mismo puede tomar medidas. Lo mejor que puedes hacer es crear un archivo de configuración impuesto. Esto tendrá prioridad sobre otros archivos de configuración, mitigando cualquier cambio malicioso realizado por fuerzas externas (como el utilizado en la vulnerabilidad de exportación de la base de datos).
También deberá asegurarse de que los usuarios normales no tengan acceso de escritura a archivos o carpetas importantes en el directorio de KeePass, y que el archivo .exe de KeePass y el archivo de configuración aplicado estén en la misma carpeta.
Y si no te sientes cómodo usando KeePass, hay muchas otras opciones. Intente cambiar a uno de los mejores administradores de contraseñas para mantener sus inicios de sesión y los detalles de su tarjeta de crédito más seguros que nunca.
Si bien esto es sin duda una mala noticia para el mundo de los administradores de contraseñas, vale la pena usar estas aplicaciones. Pueden ayudarlo a crear contraseñas seguras y únicas que se cifran en todos sus dispositivos. Es mucho más seguro que usar “123456” para cada cuenta.
Recomendaciones de los editores
