Si usa este administrador de contraseñas gratuito, sus contraseñas podrían estar en riesgo

Aranzulla de Los Pobres

Los investigadores acaban de encontrar una falla en Bitwarden, un popular administrador de contraseñas. Si se explota, el error podría dar acceso a los piratas informáticos a las credenciales de inicio de sesión, poniendo en peligro varias cuentas.

La falla dentro de Bitwarden fue detectada por Flashpoint , una firma de análisis de seguridad. Si bien el problema no ha recibido mucha, o ninguna, cobertura en el pasado, parece que Bitwarden lo sabía todo el tiempo. Así es como funciona.

Computadora de oficina con inicio de sesión que solicita contraseña y nombre de usuario.

El riesgo potencial de seguridad radica en la función de autocompletar de Bitwarden. Permite que los marcos en línea (iframes) accedan a sus datos de inicio de sesión y, si dichos iframes están comprometidos, también lo estarán sus credenciales. Un iframe es un elemento HTML que permite a los desarrolladores insertar una página web diferente dentro de la página en la que se encuentra actualmente. A menudo se usan con el propósito de incrustar anuncios, videos o análisis web.

Según Flashpoint, el uso de Bitwarden con el autocompletado habilitado en una página que contiene iframes podría provocar el robo de contraseñas. Esto se debe a que el autocompletado completa automáticamente su nombre de usuario y contraseña tanto en la página en la que se encuentra como dentro del iframe, y eso lo expone a ciertos riesgos.

En su informe, Flashpoint dijo: "Si bien el iframe incrustado no tiene acceso a ningún contenido en la página principal, puede esperar la entrada en el formulario de inicio de sesión y reenviar las credenciales ingresadas a un servidor remoto sin más interacción del usuario".

Sin embargo, hay otra forma en que los piratas informáticos podrían robar sus contraseñas. El autocompletado de Bitwarden también funciona en los subdominios del dominio al que intenta acceder, siempre que el inicio de sesión coincida. Esto significa que si se topa con una página de phishing, con un subdominio que coincide con el dominio base para el que guardó su contraseña, Bitwarden podría proporcionársela automáticamente al hacker.

“Algunos proveedores de alojamiento de contenido permiten alojar contenido arbitrario bajo un subdominio de su dominio oficial, que también sirve a su página de inicio de sesión. Como ejemplo, si una empresa tiene una página de inicio de sesión en https://logins.company.tld y permite a los usuarios publicar contenido en https://<clientname>.company.tld , estos usuarios pueden robar credenciales de Bitwarden extensiones”, explicó Flashpoint.

Una mano oscura y misteriosa escribiendo en una computadora portátil por la noche.
Andrew Brookes/Getty Images

Este problema no surgirá en sitios web grandes y legítimos, pero los servicios de hospedaje gratuitos permiten crear tales dominios. Aún así, ambas fallas tienen una probabilidad bastante pequeña de ocurrir, por lo que Bitwarden no ha solucionado el problema a pesar de estar al tanto. Para seguir trabajando en sitios web que usan iframes, Bitwarden tiene que dejar abierta esta ventana de oportunidad para posibles robos de contraseña y phishing.

Vale la pena señalar que el autocompletado está deshabilitado en Bitwarden de forma predeterminada, y la herramienta advierte a los usuarios sobre los posibles riesgos cuando activan la función. En respuesta al informe, Bitwarden ha dicho que está planeando una actualización que bloqueará el autocompletado en los subdominios.

Si aún no está utilizando una herramienta como Bitwarden, asegúrese de consultar nuestra guía de los mejores administradores de contraseñas . Bitwarden está en esa lista y, a pesar de esta falla de seguridad, aún merece su lugar, pero quizás deshabilitar el autocompletado podría ser una buena idea por el momento.