En los últimos 15 años, los gestores de contraseñas han evolucionado de herramientas de nicho utilizadas principalmente por entusiastas de la tecnología a instrumentos esenciales de seguridad para el público general. Aproximadamente 94 millones de adultos en los EE.UU., o alrededor del 36 por ciento, ahora usan estas herramientas, que resguardan no solo las contraseñas para cuentas financieras, de pensiones y correos electrónicos, sino también credenciales de criptomonedas, números de tarjetas de pago y otra información sensible.
Los ocho principales gestores de contraseñas han adoptado el término "conocimiento cero" para describir sus sofisticados sistemas de encriptación diseñados para proteger las bóvedas de datos almacenadas en sus servidores. Aunque las definiciones difieren ligeramente entre los proveedores, todos prometen una robusta garantía: que es imposible para insiders maliciosos o hackers comprometiendo la infraestructura en la nube acceder a las bóvedas o a los datos contenidos en ellas. Tales garantías son fundamentales, dadas las brechas anteriores como las experimentadas por LastPass y el riesgo creíble que representan los hackers a nivel estatal que apuntan a cuentas de alto valor.
Una audaz garantía refutada
Notablemente, compañías como Bitwarden, Dashlane y LastPass, que colectivamente sirven a cerca de 60 millones de usuarios, hacen reclamos similares. Por ejemplo, Bitwarden afirma que "ni siquiera el equipo de Bitwarden puede leer tus datos (incluso si quisieran)." Dashlane asegura que sin la contraseña maestra del usuario, "los actores maliciosos no pueden robar la información, incluso si los servidores de Dashlane son comprometidos." LastPass declara que el acceso a los datos almacenados en la bóveda de un usuario es exclusivo para el usuario, no siendo accesible ni siquiera por LastPass.
Sin embargo, una nueva investigación indica que estas afirmaciones pueden no ser ciertas en todos los escenarios, particularmente cuando las funciones de recuperación de cuentas están habilitadas o cuando los gestores de contraseñas están configurados para compartir bóvedas u organizar grupos de usuarios. Los investigadores han realizado ingeniería inversa o han analizado meticulosamente Bitwarden, Dashlane y LastPass, descubriendo formas potenciales para que alguien que controle el servidor, ya sea mediante acceso administrativo o una brecha de compromiso, pueda extraer datos y, en algunos casos, bóvedas enteras. Adicionalmente, los investigadores desarrollaron otros métodos que pueden debilitar la encriptación, potencialmente transformando el texto cifrado en texto plano.