Algunos administradores de contraseñas comerciales pueden ser vulnerables a ataques cibernéticos por parte de aplicaciones falsas, sugiere una nueva investigación.

Los expertos en seguridad recomiendan utilizar un complejo contraseña aleatoria y única para cada cuenta en línea, pero recordarlos todos sería una tarea desafiante. Ahí es donde los administradores de contraseñas son útiles.

Bóvedas cifradas a las que se accede mediante una única contraseña maestra o PIN, almacenan y autocompletan credenciales para el usuario y son altamente recomendados por el Centro Nacional de Seguridad Cibernética del Reino Unido.

Sin embargo, Los investigadores de la Universidad de York han demostrado que algunos administradores de contraseñas comerciales pueden no ser una forma hermética de garantizar la seguridad cibernética.

Después de crear una aplicación maliciosa para hacerse pasar por una aplicación legítima de Google, pudieron engañar a dos de cada cinco de los administradores de contraseñas que probaron para que dieran una contraseña.

El equipo de investigación descubrió que algunos de los administradores de contraseñas utilizaron criterios débiles para identificar una aplicación y qué nombre de usuario y contraseña sugerir para autocompletar. Esta debilidad permitió a los investigadores hacerse pasar por una aplicación legítima simplemente creando una aplicación maliciosa con un nombre idéntico.

Autor principal del estudio, Dr. Siamak Shahandashti del Departamento de Ciencias de la Computación de la Universidad de York, dijo:"Las vulnerabilidades en los administradores de contraseñas brindan oportunidades para que los piratas informáticos extraigan credenciales, comprometer la información comercial o violar la información de los empleados. Debido a que son guardianes de una gran cantidad de información confidencial, Es fundamental realizar un riguroso análisis de seguridad de los administradores de contraseñas.

"Nuestro estudio muestra que un ataque de phishing de una aplicación maliciosa es muy factible:si se engaña a una víctima para que instale una aplicación maliciosa, podrá presentarse como una opción legítima en el mensaje de autocompletar y tendrá una alta probabilidad de éxito".

"A la luz de las vulnerabilidades en algunos administradores de contraseñas comerciales, nuestro estudio ha expuesto, sugerimos que deben aplicar criterios de coincidencia más estrictos que no se basen simplemente en el supuesto nombre del paquete de una aplicación ".

Los investigadores también descubrieron que algunos administradores de contraseñas no tenían un límite en la cantidad de veces que se podía ingresar un PIN maestro o una contraseña. Esto significa que si los piratas informáticos tuvieran acceso al dispositivo de un individuo, podrían lanzar un ataque de "fuerza bruta", adivinar un PIN de cuatro dígitos en unas 2,5 horas.

Además de estas nuevas vulnerabilidades, los investigadores también elaboraron una lista de vulnerabilidades previamente reveladas identificadas en un estudio anterior y probaron si se habían resuelto. Descubrieron que, si bien se habían solucionado los problemas más graves, muchos no se habían abordado.

Los investigadores revelaron estas vulnerabilidades a los administradores de contraseñas.

Autor principal del estudio, Michael Carr, quien llevó a cabo la investigación mientras estudiaba para su Maestría en Seguridad Cibernética en el Departamento de Ciencias de la Computación, Universidad de York, dijo:"Se encontraron nuevas vulnerabilidades a través de pruebas exhaustivas y se divulgaron responsablemente a los proveedores. Algunas se solucionaron de inmediato, mientras que otras se consideraron de baja prioridad.

"Se necesita más investigación para desarrollar modelos de seguridad rigurosos para administradores de contraseñas, pero aún aconsejamos a las personas y empresas que los utilicen, ya que siguen siendo una opción más segura y utilizable. Si bien no es imposible, los piratas informáticos tendrían que lanzar un ataque bastante sofisticado para acceder a la información que almacenan ".

Revisando las vulnerabilidades de seguridad en los administradores de contraseñas comerciales se presentará en la 35a Conferencia Internacional sobre Seguridad y Protección de la Privacidad de los Sistemas de TIC (IFIP SEC 2020) en septiembre, 2020.