Es posible que esta gran vulnerabilidad del administrador de contraseñas nunca se solucione
Han sido unos meses malos para los administradores de contraseñas, aunque principalmente solo para LastPass. Pero después de las revelaciones de que LastPass había sufrido una brecha importante , la atención ahora se dirige al administrador de código abierto KeePass.
Ha habido acusaciones de que una nueva vulnerabilidad permite a los piratas informáticos robar subrepticiamente la base de datos de contraseñas completa de un usuario en texto sin cifrar. Esa es una afirmación increíblemente seria, pero los desarrolladores de KeePass la están disputando.
KeePass es un administrador de contraseñas de código abierto que almacena su contenido en el dispositivo de un usuario, en lugar de en la nube como las ofertas rivales. Sin embargo, como muchas otras aplicaciones, su bóveda de contraseñas se puede proteger con una contraseña maestra.
La vulnerabilidad, registrada como CVE-2023-24055 , está disponible para cualquier persona con acceso de escritura al sistema de un usuario. Una vez que se ha obtenido, un actor de amenazas puede agregar comandos al archivo de configuración XML de KeePass que exporta automáticamente la base de datos de la aplicación, incluidos todos los nombres de usuario y contraseñas, a un archivo de texto sin cifrar.
Gracias a los cambios realizados en el archivo XML, todo el proceso se realiza automáticamente en segundo plano, por lo que los usuarios no reciben alertas de que su base de datos se ha exportado. El actor de amenazas puede luego extraer la base de datos exportada a una computadora o servidor que controle.
no se arreglará
Sin embargo, los desarrolladores de KeePass han cuestionado la clasificación del proceso como una vulnerabilidad, ya que cualquiera que tenga acceso de escritura a un dispositivo puede acceder a la base de datos de contraseñas utilizando diferentes métodos (a veces más simples).
En otras palabras, una vez que alguien tiene acceso a su dispositivo, este tipo de exploit XML es innecesario. Los atacantes podrían instalar un keylogger para obtener la contraseña maestra, por ejemplo. La línea de razonamiento es que preocuparse por este tipo de ataque es como cerrar la puerta después de que el caballo se ha escapado. Si un atacante tiene acceso a su computadora, arreglar el exploit XML no ayudará.
La solución, argumentan los desarrolladores, es “mantener el entorno seguro (mediante el uso de un software antivirus, un cortafuegos, no abrir archivos adjuntos de correo electrónico desconocidos, etc.). KeePass no puede ejecutarse mágicamente de forma segura en un entorno inseguro”.
¿Qué puedes hacer?
Si bien los desarrolladores de KeePass parecen no estar dispuestos a solucionar el problema, hay pasos que puede tomar usted mismo. Lo mejor que puede hacer es crear un archivo de configuración obligatorio . Esto tendrá prioridad sobre otros archivos de configuración, mitigando cualquier cambio malicioso realizado por fuerzas externas (como el utilizado en la vulnerabilidad de exportación de la base de datos).
También deberá asegurarse de que los usuarios habituales no tengan acceso de escritura a ningún archivo o carpeta importante contenido en el directorio de KeePass, y que tanto el archivo .exe de KeePass como el archivo de configuración obligatorio estén en la misma carpeta.
Y si no te sientes cómodo usando KeePass, hay muchas otras opciones. Intente cambiar a uno de los mejores administradores de contraseñas para mantener sus inicios de sesión y los detalles de su tarjeta de crédito más seguros que nunca.
Si bien estas son sin duda más malas noticias para el mundo de los administradores de contraseñas, vale la pena usar estas aplicaciones. Pueden ayudarlo a crear contraseñas seguras y únicas que están encriptadas en todos sus dispositivos. Eso es mucho más seguro que usar "123456" para cada cuenta .