Es posible que este enorme exploit del administrador de contraseñas nunca se solucione

Han sido unos meses malos para los administradores de contraseñas, aunque principalmente solo para LastPass. Pero después de las revelaciones que LastPass había sufrió una violación importante, la atención ahora se centra en el administrador de código abierto KeePass.

Contenido

  • No se arreglará
  • ¿Qué puedes hacer?

Han estado surgiendo acusaciones de que una nueva vulnerabilidad permite a los piratas informáticos robar subrepticiamente toda la base de datos de contraseñas de un usuario en texto plano sin cifrar. Se trata de una afirmación increíblemente seria, pero los desarrolladores de KeePass la cuestionan.

Un monitor grande que muestra una advertencia de violación de seguridad.
Depósito de existencias/Getty Images

KeePass es de código abierto administrador de contraseñas que almacena su contenido en el dispositivo de un usuario, en lugar de en la nube como las ofertas rivales. Sin embargo, como muchas otras aplicaciones, su bóveda de contraseñas se puede proteger con una contraseña maestra.

Relacionado

  • Estas contraseñas vergonzosas hicieron que las celebridades piratearan
  • Google acaba de hacer que esta vital herramienta de seguridad de Gmail sea completamente gratuita
  • NordPass agrega soporte de clave de acceso para desterrar sus contraseñas débiles

La vulnerabilidad, registrada como CVE-2023-24055, está disponible para cualquier persona con acceso de escritura al sistema de un usuario. Una vez obtenido, un actor de amenazas puede agregar comandos al archivo de configuración XML de KeePass que exportar automáticamente la base de datos de la aplicación, incluidos todos los nombres de usuario y contraseñas, a un formato no cifrado archivo de texto plano.

Vídeos recomendados

Gracias a los cambios realizados en el archivo XML, todo el proceso se realiza automáticamente en segundo plano, por lo que los usuarios no reciben alertas de que su base de datos ha sido exportada. Luego, el actor de la amenaza puede extraer la base de datos exportada a una computadora o servidor que controle.

No se arreglará

Una representación de un hacker irrumpiendo en un sistema mediante el uso de código.
imágenes falsas

Sin embargo, los desarrolladores de KeePass han cuestionado la clasificación del proceso como vulnerabilidad, ya que cualquiera Quien tiene acceso de escritura a un dispositivo puede acceder a la base de datos de contraseñas utilizando diferentes (a veces más simples) métodos.

En otras palabras, una vez que alguien tiene acceso a su dispositivo, este tipo de exploit XML es innecesario. Los atacantes podrían instalar un registrador de teclas para obtener la contraseña maestra, por ejemplo. El razonamiento es que preocuparse por este tipo de ataque es como cerrar la puerta después de que el caballo se ha escapado. Si un atacante tiene acceso a su computadora, arreglar el exploit XML no ayudará.

La solución, argumentan los desarrolladores, es “mantener el entorno seguro (mediante el uso de un software antivirus, un cortafuegos, no abrir archivos adjuntos de correo electrónico desconocidos, etc.). KeePass no puede funcionar mágicamente de forma segura en un entorno inseguro”.

¿Qué puedes hacer?

imagen de estilo de vida del administrador de contraseñas

Si bien los desarrolladores de KeePass parecen no estar dispuestos a solucionar el problema, hay pasos que usted mismo puede seguir. Lo mejor que puedes hacer es crear un archivo de configuración forzado. Esto tendrá prioridad sobre otros archivos de configuración, mitigando cualquier cambio malicioso realizado por fuerzas externas (como el utilizado en la vulnerabilidad de exportación de la base de datos).

También deberá asegurarse de que los usuarios habituales no tengan acceso de escritura a ningún archivo o carpeta importante que contenga. dentro del directorio KeePass, y que tanto el archivo KeePass .exe como el archivo de configuración aplicado estén en el mismo carpeta.

Y si no te sientes cómodo siguiendo usando KeePass, hay muchas otras opciones. Intente cambiar a uno de los mejores administradores de contraseñas para mantener sus inicios de sesión y los datos de su tarjeta de crédito más seguros que nunca.

Si bien esta es, sin duda, una mala noticia para el mundo de los administradores de contraseñas, vale la pena usar estas aplicaciones. Pueden ayudarte a crear contraseñas seguras y únicas que están encriptados en todos sus dispositivos. Eso es mucho más seguro que usando “123456” para cada cuenta.

Recomendaciones de los editores

  • Este exploit crítico podría permitir a los piratas informáticos eludir las defensas de su Mac
  • Es posible que los piratas informáticos hayan robado la clave maestra de otro administrador de contraseñas
  • No, 1Password no fue pirateado: esto es lo que realmente sucedió
  • Si utiliza este administrador de contraseñas gratuito, sus contraseñas podrían estar en riesgo
  • LastPass revela cómo fue pirateado, y no son buenas noticias

Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.