A raíz de la reciente violación de LastPass y el ataque de relleno de credenciales de Norton Password Manager, es posible que tenga dudas sobre el almacenamiento de contraseñas en la nube. Las soluciones de administración de contraseñas que almacenan todas las contraseñas en su dispositivo local, como el KeePass gratuito de código abierto, comienzan a verse realmente atractivas. Sin embargo, un investigador reveló recientemente(Se abre en una nueva ventana) un problema de larga data con KeePass que permitiría a un atacante exfiltrar todas sus contraseñas almacenadas localmente usando nada más de alta tecnología que el Bloc de notas. El fundador de KeePass cuestiona el reclamo, aunque indirectamente.
¿Qué está pasando con KeePass? Vamos a desglosarlo.
¿Cómo funciona KeePass?
KeePass es extremadamente personalizable, más que cualquier administrador de contraseñas que hayamos visto. A los aficionados les encanta crear y compartir scripts que modifican las características del producto para hacer exactamente lo que quieren. Y todo se basa en un sistema de disparadores, condiciones y acciones.(Se abre en una nueva ventana). Si se produce un evento desencadenante y se cumplen las condiciones necesarias, KeePass realiza la acción.
Muchos disparadores giran en torno a eventos simples como iniciar el programa, abrir una base de datos de contraseñas, detener el programa o guardar una base de datos. Los usuarios avanzados pueden configurar un disparador basado en el tiempo o un disparador lanzado por un botón personalizado. Sí, incluso puedes personalizar botones en la interfaz de usuario de KeePass.
Puede configurar un disparador para que solo se inicie en el condición que una determinada variable de entorno coincida con un valor específico, o que cierto archivo esté presente, entre otras cosas. Más revelador es que KeePass puede activar un activador condicionalmente, en función de si un host remoto específico está disponible.
La mayoría de los disponibles comportamiento se relacionan con las operaciones internas de KeePass. Un activador puede hacer que KeePass importe o exporte la base de datos de contraseñas, abra una base de datos específica o sincronice la base de datos actual con un archivo de copia de seguridad o URL. Pero también es posible que una acción desencadenante ejecute una línea de comando o abra una URL. Lo repetiré: un disparador puede ejecutar una línea de comando o abrir una URL. Ese es el santo grial para los piratas informáticos, la capacidad de ejecutar código arbitrario.(Se abre en una nueva ventana).
El sitio de KeePass ofrece numerosos ejemplos de activación(Se abre en una nueva ventana) para realizar tareas útiles. Estos incluyen hacer una copia de seguridad de la base de datos al inicio del programa, exportar a un segundo formato en cada guardado y sincronizar su base de datos con el almacenamiento en la nube.
Abusar del sistema de activación
En enero de 2023, el investigador de seguridad Alex Hernandez detalló un ataque de prueba de concepto, abusando del sistema de activación KeePass para filtrar una copia de texto sin formato de todas las contraseñas. El NIST (Instituto Nacional de Estándares y Tecnología) tomó el informe lo suficientemente en serio como para agregar el ataque a su base de datos de vulnerabilidades, bajo el identificador CVE-2023-24055.(Se abre en una nueva ventana)aunque está disputado por KeePass.
Hernández publicó un código de muestra para el ataque a Github; aquellos con suficientes habilidades pueden leer los detalles aquí.(Se abre en una nueva ventana). Brevemente, editó el archivo de configuración de texto sin formato de KeePass para crear una acción activada al guardar la base de datos de KeePass. Cuando ocurre un evento de guardado, KeePass también exporta la base de datos de contraseñas a una versión de texto sin formato sin solicitar la contraseña maestra. Otro activador carga la base de datos exportada a un servidor en espera. Y todo lo que se necesita para cometer este robo es la capacidad de editar el archivo de configuración de KeePass, ya sea sentándose en el Bloc de notas en una computadora desbloqueada o usando un troyano de acceso remoto para hacer el trabajo a distancia.
Suponga que el sistema está comprometido
El creador y fundador de KeePass, Dominik Reichl, respondió a la supuesta vulnerabilidad, afirmando que cualquier atacante con privilegios suficientes para editar el archivo ofensivo puede hacer mucho, mucho peor. Ignoró las solicitudes de los usuarios para al menos prohibir la capacidad de exportar sin requerir la contraseña maestra, y se burló de la necesidad de cualquier cambio en KeePass, diciendo que «KeePass no puede ejecutarse mágicamente de forma segura en un entorno inseguro».
La cosa es que correr de forma segura en un entorno inseguro es exactamente la forma en que debería funcionar la seguridad moderna. Los desarrolladores inteligentes asumen que el sistema está comprometido y elaboran técnicas para preservar la seguridad independientemente. Esta mentalidad, también llamada Zero Trust(Se abre en una nueva ventana)está en el corazón de muchos paradigmas de seguridad modernos, incluido el elaborado protocolo que permite a los administradores de contraseñas basados en la nube autenticar a los usuarios sin siquiera conocer sus contraseñas.
KeePass frente a otros administradores de contraseñas
Si se aleja de su escritorio y deja su administrador de contraseñas conectado, cualquier persona que logre sentarse en su lugar puede exportar sus contraseñas y copiarlas en una memoria USB o enviarlas a un servidor. Ese es el escenario apocalíptico. No importa qué administrador de contraseñas uses, estás en un mundo de problemas. Simplemente un recordatorio; configure su administrador de contraseñas para cerrar sesión automáticamente después de la inactividad, y siempre bloquee su computadora cuando se aleje.
Tenga en cuenta que el exploit KeePass no requiere de ninguna manera acceso a una instancia abierta del programa en sí. KeePass no tiene que estar funcionando en absoluto. Los hechos sucios suceden la próxima vez que se lanza KeePass.
¿Qué pasa con otros administradores de contraseñas? ¿Qué podría lograr un intruso en su escritorio, suponiendo que su base de datos de contraseñas está bloqueada? ¿Podrían cambiar la configuración? ¿Debilitar la seguridad? ¿Dañar o eliminar la configuración? ¿Borrar tus contraseñas almacenadas? Pedí comentarios a expertos de varias empresas populares de administración de contraseñas.
Keeper no mantiene ningún archivo de configuración basado en texto. Un atacante que lograra eliminar la configuración de Keeper simplemente descubriría que Keeper se comporta como si todo fuera nuevo nuevamente, lo que requiere la autenticación multifactor que Keeper impone en cada nueva instalación. Mi contacto de Keeper explicó que Keeper simplemente no tiene ningún tipo de función de exportación automatizada. Opinó que KeePass debería eliminar esa función.
NordPass mantiene los ajustes de configuración encriptados tanto en el servidor como en el cliente. Si un atacante eliminó la configuración del lado del cliente, «lo peor que podría pasar sería un cambio en la apariencia de la aplicación», según el contacto de mi empresa. Y si la copia local de la base de datos de contraseñas se desechara, NordPass simplemente la restauraría desde el servidor.
¿Qué es la autenticación de dos factores?
El equipo de Bitwarden señaló que evitan comentar sobre las vulnerabilidades CVE informadas, ya que cualquiera puede enviarlas. Afirmaron que Bitwarden «tiene mucho respeto por los administradores de contraseñas de código abierto». Bitwarden es en sí mismo un proyecto de código abierto(Se abre en una nueva ventana)con un nivel gratuito que incluye muchas características.
Recomendado por Nuestros Editores
Almacenamiento solo local, hasta que no lo sea
Estudiar KeePass me hizo pensar en el almacenamiento solo local, una característica muy publicitada de este programa. Fuera de la caja, KeePass solo mantiene su base de datos de contraseñas en su única PC. Si desea sincronizar contraseñas con otra instalación, copie su base de datos en una memoria USB, sincronícela con la otra PC y luego vuelva a copiarla. En comparación con la sincronización automática sin complicaciones de las soluciones de administración de contraseñas basadas en la nube, eso es bastante tedioso.
Afortunadamente (¿o no?) KeePass admite complementos(Se abre en una nueva ventana), y muchos de los más de 100 complementos implican alguna forma de facilitar el proceso de sincronización. El problema es que cada vez que usa uno de estos, amplía la superficie de ataque. Claramente confías en KeePass, o no lo estarías usando. Pero ahora debe preocuparse por si quien escribió el complemento de terceros manejará sus datos de forma segura. También está confiando en Google, Microsoft o cualquier compañía que le suministre su almacenamiento en la nube. Los servicios básicos de almacenamiento en la nube incluyen características de seguridad, pero por lo general no al nivel proporcionado por el almacenamiento de contraseñas dedicadas en la nube.
En resumen, KeePass almacena sus contraseñas localmente e incluso puede sincronizar sus bases de datos manualmente con otra instalación. Pero si opta por cualquier tipo de sincronización conveniente, está abriendo una superficie de ataque más grande.
Tenga en cuenta que el almacenamiento local no tiene por qué impedir la sincronización segura. El difunto y lamentado MyKi almacenó todas las contraseñas en su dispositivo móvil, utilizando sus servidores de retransmisión para manejar la sincronización. Tus datos pasaron a través de servidores de MyKi, pero no residía en ellos. Por desgracia, el MyKi centrado en dispositivos móviles gratuito cerró en la primavera de 2022 después de su adquisición por parte de JumpCloud.(Se abre en una nueva ventana).
¿Debería seguir usando KeePass?
No pasó nada con KeePass en enero. No hubo pirateo ni violación de datos. Nada ha cambiado. Un investigador simplemente señaló una vulnerabilidad que ha existido durante años. Ahora entendemos que las mismas funciones de disparador y complemento que hacen de KeePass el favorito de los aficionados pueden ser vulnerables al abuso.
Puedes seguir usando KeePass, si lo deseas, con algunas precauciones. Mantenga instalada y actualizada una poderosa utilidad antivirus para asegurarse de que nadie pueda usar un troyano de acceso remoto para modificar su archivo de configuración de KeePass. Proteja su cuenta de Windows con una contraseña segura, datos biométricos o ambos, y configúrela para que se bloquee después de un breve período de inactividad. Cuando se levante de su escritorio, presione Windows+L para bloquear el escritorio de manera proactiva. Deberias hacer eso.
Por supuesto, aún tiene el problema de la exposición si desea algún tipo de sincronización automática. Como se señaló, debe confiar en el autor del complemento de sincronización, y está relegando su contraseña a cualquier seguridad que ofrezca su proveedor de almacenamiento en la nube elegido.
Por mi parte, me quedo con el almacenamiento en la nube para mis contraseñas. Cuando se implementan de acuerdo con el paradigma Zero Trust, estos servicios deberían proporcionar la máxima seguridad incluso en un entorno comprometido. Considero que este almacenamiento que prioriza la seguridad es significativamente más seguro que el almacenamiento solo local, cuya seguridad puede verse debilitada por la ejecución de código arbitrario y los complementos de terceros.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.