Expertos informáticos han descubierto una sorprendente vulnerabilidad en los gestores de contraseñas, ya que parece que muchos de estos no realizan un buen trabajo al depurar las contraseñas de la memoria una vez que ya no se necesitan.

Un análisis de Independent Security Evaluators (ISE) sacó a luz el problema que afecta de diferente forma a versiones de 1Password, Dashlane, LastPass y KeePass.

Las buenas noticias, son que todos los gestores aseguran correctamente las contraseñas cuando no se está ejecutando el software (cuando las contraseñas, incluyendo la maestra, están en la base de datos de forma cifrada).

Sin embargo, la cosa empeora un poco cuando ISE investigó como estos productos aseguraban las contraseñas tanto en modo bloqueado (ejecutándose justo antes de introducir la contraseña maestra o justo después de desconectarse), y en estado completamente desbloqueado (después de introducir la contraseña maestra).

En vez de generalizar, es mejor describir los problemas de cada producto.

1Password4 para Windows (v4.6.2.626)

La versión antigua mantiene una versión ofuscada de la contraseña maestra en la memoria que no se depura cuando se regresa al estado bloqueado. Bajo ciertas condiciones, una versión vulnerable en texto plano permanece en la memoria.

1Password7 para Windows (v7.2.576)

Pese a ser la versión actual, los investigadores lo califican como menos seguro que 1Password4 porque descifra y guarda en cache toda la base de datos de contraseñas en vez de hacerlo una de cada vez. 1Password7 también falla al depurar las contraseñas de la memoria, incluyendo la contraseña maestra, cuando cambia a modo bloqueado. Esto compromete la efectividad del botón de bloqueo, requiriendo que el usuario salga completamente del programa.

Dashlane para Windows (v6.1843.0)

Expone solo una contraseña de cada vez en memoria hasta que un usuario actualiza la entrada que es cuando la base de datos completa se expone en texto plano. Esto continúa siendo así pese que el usuario bloquee la base de datos.

KeePass Password Safe (v2.40)

Las entradas en la base de datos no son depuradas de la memoria después de ser usadas, aunque si ocurre con la contraseña maestra, afortunadamente, no recuperable.

LastPass for Applications (v4.1.59)

Las entradas en la base de datos permanecen en la memoria incluso cuando la aplicación está bloqueada. Además, cuando se deriva la llave de cifrado, la contraseña maestra se filtra a “un búfer de cadena” donde no se borra, incluso si la aplicación está bloqueada (nota: está versión se utiliza para gestionar las contraseñas de aplicaciones y es distinta del plugin para la web).

Obviamente, si las contraseñas, especialmente la contraseña maestra, están en la memoria cuando la aplicación está bloqueada, aumentan las posibilidades que malware pueda robar esta información después de infectar un ordenador.

La respuesta

Alguno de los fabricantes afectados han defendido públicamente sus productos, afirmando que los problemas que han descubierto los investigadores son parte de concesiones de diseños complejos.

LastPass también afirma que han solucionado los problemas encontrados en su producto y señala que un atacante necesitaría privilegios elevados para acceder al PC del usuario

¿Es el fin de los gestores de contraseñas?

Por resumir: no. Nuestro consejo es que continúes usándolos porque los problemas encontrados están completamente contrarrestados por las ventajas de su uso y además probablemente se solucionarán en próximas actualizaciones.

Lo que importa es que los investigadores busquen las vulnerabilidades de  estos productos y que los fabricantes hagan todo lo posible para solucionarlo lo antes posible.

Si tienes dudas, una buena idea es cerrar el gestor de contraseñas cundo no se utilice.

Y, por supuesto, utiliza la autenticación de doble factor siempre que puedas. De esa manera, aunque alguien tenga tu contraseña, no se podrá conectar como si fueses tú.