Clickjacking expone vulnerabilidades en gestores de contraseñas

El investigador Marek Tóth reveló en la conferencia DEF CON que casi una docena de administradores de contraseñas populares incluidos 1Password, Bitwarden, LastPass, Dashlane, Enpass, Keeper, NordPass, ProtonPass, RoboForm, LogMeOnce y iCloud Passwords son vulnerables a ataques de clickjacking en sus extensiones de navegador.

El clickjacking permite que un atacante engañe a la víctima para hacer clic en elementos invisibles dentro de una página, ejecutando acciones sin darse cuenta.

Tóth demostró que esta técnica, combinada con la función de autocompletar de los gestores de contraseñas, puede usarse para robar datos confidenciales como nombres de usuario, contraseñas, claves de acceso e información de pago. En algunos casos, basta con un solo clic para que se produzca la exfiltración.

Algunos proveedores ya han corregido las fallas, pero Bitwarden, 1Password, Enpass, iCloud Passwords, LastPass y LogMeOnce aún trabajan en soluciones. Bitwarden anunció que lanzará un parche esta semana, mientras que LogMeOnce aseguró que prepara una actualización de seguridad.

Desde el sector, 1Password reconoció que el clickjacking es un problema más amplio relacionado con los navegadores y no exclusivo de estas extensiones, mientras que LastPass destacó el reto de equilibrar seguridad y usabilidad.

Ambas compañías señalaron que han implementado medidas adicionales, como confirmaciones o notificaciones antes de autocompletar datos sensibles. El hallazgo subraya que incluso las herramientas diseñadas para proteger la información pueden convertirse en un objetivo si no se actualizan con rapidez.

No olvides suscribirte a nuestro canal de YouTube y seguirnos a través de nuestras redes sociales (Facebook, X, LinkedIn e Instagram) para estar informado con las noticias más relevantes de tecnología y ciberseguridad. Adicionalmente, conocerás más detalles sobre todos los productos y/o servicios de ciberseguridad que ofrece Quanti para ti.