La relación entre nuestras contraseñas de servicios web y nosotros ha pasado por tres fases: la de usar la memoria, soluciones genéricas (como apuntarlas en un papel o en una nota en el propio ordenador) o directamente usar —música de terror— una contraseña universal para todo. Luego llegaron los gestores de contraseñas para facilitarnos el uso de claves distintas en cada web. Finalmente, los navegadores acabaron integrando su propio gestor de contraseñas y la sencillez fue aún mayor, además de aportarnos cierta confianza extra: además de usar un gestor, lo hacemos desde el propio navegador.
Uno de los últimos malware que han sido dados a conocer permite realizar ataques dirigidos a usuarios concretos y extraer sus credenciales de inicio de sesión guardadas exactamente ahí, en el gestor de contraseñas integrado en los navegadores. Llamado RedLine Stealer, roba esta información en navegadores basados en Chromium. Es decir, Chrome, Edge y Opera, que juntos agrupan a casi el 80% de los usuarios de escritorio, si bien eso no significa que todos ellos usen su gestor integrado.
200 dólares y ataques dirigidos
Este malware, según la alerta de ASEC, una empresa de ciberseguridad, y la alerta dada por Genbeta, puede comprarse por unos 200 dólares en la deep web y distribuirse maliciosamente para atacar a objetivos específicos.
Según la empresa, un empleado de una tercera compañía que trabajaba en remoto usó el gestor integrado para almacenar las contraseñas sin saber que había sido infectado con RedLine Stealer, ya que ni siquiera la solución antimalware que tenía instalada en el equipo corporativo fue capaz de detectar su presencia, que normalmente llega a través de un correo electrónico, aunque también se ha comprobado que puede llegar camuflado en cualquier tipo de software. Este empleado sufrió el robo de esas credenciales, que derivó en un hackeo a su empresa tres meses después.
Los navegadores basados en Chromium guardan los datos de inicio de sesión en una base de datos SQL, que es el objetivo de este malware, además de otra información en forma de cookies, información de autocompletado, datos de nuestras tarjetas de crédito guardadas también en el navegador para agilizar los pagos, etc.
El archivo SQL del navegador que almacena las credenciales es el objetivo de este malware
La herramienta de gestión de contraseñas está activa por defecto, y una cosa es no utilizarla, y otra desactivarla por completo. En el primer caso, al escoger no recordar la contraseñas de ese sitio web en particular, la base de datos registra que se ha iniciado sesión ahí, pero sin almacenar nombre de usuario y contraseña. Esa información por sí sola también es útil para el atacante, que conoce que ese usuario accede a esa página web con su propio perfil de usuario, y puede dar paso a otro tipo de ataques.
El fichero en cuestión, además de almacenar esas credenciales, también registra información complementaria, como la fecha en la que se inició sesión por primera vez o el número de veces que se ha hecho. Usar un gestor de contraseñas dedicado, como LastPass o 1Password, con la información cifrada por una contraseña maestra, debería a priori aumentar la seguridad, si bien ellos tampoco se libran de algún que otro susto.
Ver 56 comentarios