De perogrullo: cuidado con el malware si usas un gestor de contraseñas

Tras unas cuantas semanas desde mis últimos artículos sobre seguridad, estoy seguro de que todos ya tenéis un gestor de contraseñas, la verificación en dos pasos activada en todos los servicios que lo admiten, y habéis seguido una estrategia súper segura para impedir que la gente mala adivine las respuestas a las preguntas de seguridad.

keepass

Esta corta entrada sólo quiere recordaros que para tener las contraseñas a buen recaudo, por mucho que guardéis las mismas en un almacén cifrado, debéis proteger vuestros ordenadores, tabletas y móviles contra todo tipo de amenazas, en especial aquellas que ponen una oreja en el teclado o en el portapapeles de vuestros dispositivos. Un malware (programa malicioso, más o menos malamente traducido) podría tomar nota de todas las pulsaciones del teclado y todas las cadenas de texto copiadas al portapapeles y robar la contraseña maestra de un gestor de contraseñas, teniendo así acceso a todas vuestras contraseñas.

Con el auge de los gestores de contraseñas de los últimos meses, los delincuentes se están centrando en obtener las contraseñas maestras de los gestores de contraseñas más conocidos. Existen estudios que se centran en troyanos como Citadel [artículo en inglés] que desgranan esta nueva tendencia que consiste en activarse cuando el ejecutable de un gestor de contraseñas (por ejemplo, “KeePass.exe“) aparece en la memoria. En ese momento, el troyano empieza a almacenar todas las entradas del usuario por teclado para, con una muy alta probabilidad, capturar la contraseña maestra en una de las primeras entradas y poder así acceder a todos los juegos de credenciales.

Lo mismo ocurre con los gestores de contraseñas en Android y los programas que puedan suscribirse a cambios en el portapapeles. La mayor parte, o la práctica totalidad de los gestores de contraseñas en el móvil utilizan el portapapeles como medio de transmisión de la misma, con lo que mucho ojo con lo que instalamos en el móvil.

Es una perogrullada, pero hay que decirlo; es muy importante:

  • El sentido común en cualquier plataforma (PC, móvil,…).
    • No instaléis cualquier programa a lo loco. Sólo de fuentes fiables, programas originales y previo filtro por el antivirus o el servicio de prevención de la tienda de aplicaciones, en el caso del móvil.
    • Nunca os creáis que ganáis premios sólo por entrar en una web, ni que podéis conseguir una Wii a 2 € o un iPhone a 17.
    • Nadie os quiere regalar dinero por correo electrónico.
    • Cuidado con los aceleradores de descargas.
  • En el PC, siempre protegidos. Como antivirus gratuito para PC, os recomiendo Avira si no os fiáis de Windows Defender.
  • En el móvil, orígenes y aplicaciones conocidas: no instaléis aplicaciones de fuentes que no sean las tiendas de vuestra propia plataforma. Si por alguna razón lo hacéis, instalaos un antivirus fiable. Hay muchos gratuitos, y las versiones de pago rara vez superan los 10 €. Uno muy valorado es Avast. En función del uso del móvil que hagas y si tienes desactivada la casilla de “instalar siempre desde orígenes conocidos”, has rooteado tu Android o le has hecho un jailbreak a tu iPhone, decide. Si, como yo, no has hecho nada de eso y usas aplicaciones conocidas y siempre descargadas desde Google Play, el peligro está lejos.

¿Significa todo esto que no debo instalar un gestor de contraseñas en el móvil o en el PC? No, lo que significa es que debemos ser conscientes de que cuando lo hacemos, de la misma forma que cuando manejamos información de tarjetas de crédito en el móvil o en el PC, estos dispositivos se merecen toda nuestra atención en lo que se refiere a su seguridad.

Fuentes (en inglés):

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *