Investigadores del ETH Zurich han descubierto vulnerabilidades de seguridad significativas en tres populares gestores de contraseñas basados en la nube: Bitwarden, Lastpass y Dashlane, que sirven a aproximadamente 60 millones de usuarios en total. El estudio demostró que los investigadores pudieron acceder y modificar contraseñas almacenadas, contradiciendo la promesa de “cero conocimiento” de encriptación que muchos proveedores hacen, asegurando que ni siquiera ellos pueden acceder a los datos. Los investigadores simularon ataques a los servidores, aprovechando interacciones rutinarias de los usuarios y navegadores para comprometer la seguridad. La complejidad del código, impulsada por la necesidad de ofrecer funciones como la recuperación de contraseñas y el uso compartido familiar, amplió la superficie de ataque. Los proveedores fueron notificados de las vulnerabilidades y recibieron un plazo de 90 días para corregirlas, aunque la implementación de actualizaciones es lenta debido al temor a la pérdida de datos de los clientes, incluyendo empresas. Los investigadores recomiendan a los usuarios elegir gestores de contraseñas transparentes sobre sus vulnerabilidades y que utilicen encriptación de extremo a extremo por defecto, y a los proveedores actualizar sus sistemas con estándares criptográficos modernos.
Noticias agregadas con IA