Los gestores de contraseñas son considerados como cajas fuertes digitales, sin embargo, un estudio del experto Marek Tóth revela una vulnerabilidad que puede comprometer su seguridad. Según Tóth, basta con visitar una página web maliciosa y hacer clic en un lugar inapropiado para activar un sistema de robo de información sin que el usuario se dé cuenta. Este problema, presentado en la conferencia DEF CON 33, se centra en las extensiones de navegador que utilizamos a diario.
El estudio documenta que once extensiones de gestores de contraseñas pueden ser manipuladas para filtrar datos. Tóth notificó a los fabricantes sobre esta vulnerabilidad en abril de 2025, y a mediados de agosto, varias extensiones aún no habían sido corregidas. Se estima que alrededor de 40 millones de instalaciones activas podrían estar expuestas.
Cómo funciona el ataque y por qué te afecta
La técnica descrita por Tóth consiste en ocultar elementos de las extensiones en la página web, permitiendo que el autocompletado se active en segundo plano sin que el usuario lo note. Este ataque puede llevarse a cabo incluso en páginas legítimas que presenten fallos de seguridad, lo que aumenta el riesgo de captura de credenciales de inicio de sesión.
Según datos publicados por Tóth, a fecha del 19 de agosto, gestores como 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass y LogMeOnce aún eran vulnerables. Sin embargo, Bitwarden lanzó una actualización con un parche el 20 de agosto, y otros gestores como NordPass, Dashlane, Keeper, ProtonPass y RoboForm ya habían implementado medidas correctivas.
La respuesta de los fabricantes ha sido variada. 1Password y LastPass clasificaron la vulnerabilidad como “informativa”, mientras que Bitwarden, Enpass y Apple confirmaron que están trabajando en actualizaciones. Algunos fabricantes han reconocido el riesgo, pero lo han atribuido a vulnerabilidades externas en los sitios visitados.
Para mitigar la exposición, se aconseja desactivar el autocompletado manual y utilizar el método de copiar y pegar. También se sugiere configurar el relleno automático solo para coincidencias exactas de URL, evitando su uso en subdominios. En navegadores basados en Chromium, se puede limitar el uso de la extensión para requerir autorización explícita de cada uso.
Es importante destacar que para que el ataque tenga éxito, la extensión debe estar desbloqueada y el usuario debe interactuar en el momento preciso. El análisis se centró en once extensiones, y no hay evidencia de que todas las soluciones del mercado sean vulnerables, aunque el experto advierte que este patrón podría repetirse en otros tipos de extensiones.
El riesgo se origina en el DOM, la estructura interna que utilizan las páginas web. Los gestores de contraseñas insertan sus elementos en el DOM, y si una página maliciosa logra manipularlos, el usuario puede hacer clic sin darse cuenta, lo que también podría afectar a otras extensiones, como carteras de criptomonedas o aplicaciones de notas.
Imágenes | Xataka con Gemini 2.5
En Xataka | Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad
Fuente original: ver aquí
