No busque más para saber cómo los ciberdelincuentes podrían intentar acceder a su bóveda y cómo puede mantener seguros sus inicios de sesión.
13 de noviembre de 2025
•
,
5 min. leer
Se estima que el usuario medio de Internet tiene 168 contraseñas para sus cuentas personales, según un estudio a partir de 2024. Se trata de un enorme aumento del 68% con respecto a la cifra de cuatro años antes. Dados los riesgos de seguridad asociados con el intercambio de credenciales entre cuentas y el uso de contraseñas fáciles de adivinar, la mayoría de nosotros necesitamos ayuda para administrar estos inicios de sesión. Aquí es donde entran los administradores de contraseñas: nos permiten almacenar y recuperar contraseñas largas, seguras y únicas para cada una de nuestras cuentas en línea.
Sin embargo, esto no significa que estas bóvedas de contraseñas sean una solución milagrosa o que debas reducir tu vigilancia en línea. Dado que literalmente poseen las claves de nuestra vida digital, también se han convertido en un objetivo popular para los ciberdelincuentes. Aquí hay seis riesgos potenciales y algunas ideas sobre cómo mitigarlos.
6 preocupaciones de seguridad del administrador de contraseñas
Con acceso a las credenciales almacenadas en su administrador de contraseñas, los actores de amenazas podrían secuestrar sus cuentas para cometer fraude de identidad o vender acceso/contraseñas a otros. Es por eso que siempre están buscando nuevas formas de dirigirse a usted. Esté atento a lo siguiente:
1. Compromiso de su contraseña maestra
Lo bueno de los administradores de contraseñas es que con una contraseña única y fácil de recordar, puedes acceder a la bóveda que almacena todas tus credenciales en línea. Sin embargo, el problema con este enfoque es que, si los ciberdelincuentes pueden consigue esa contraseña maestraobtienen el mismo nivel de acceso. Esto podría suceder mediante un ataque de “fuerza bruta”, en el que esencialmente utilizan herramientas automatizadas para probar diferentes contraseñas repetidamente hasta que finalmente encuentran la correcta. Otra opción es explotar las vulnerabilidades del software de gestión de contraseñas o engañar a los usuarios con páginas de phishing, como se detalla a continuación.
2. Anuncios de phishing/fraude
Se sabe que los actores de amenazas publican anuncios maliciosos a la Búsqueda de Google diseñada para atraer a las víctimas a sitios falsos que recopilan su dirección de correo electrónico, contraseña maestra y clave secreta (si corresponde). El peligro de estos anuncios es que parecen legítimos y pueden aparecer en los rankings de búsqueda cuando busca en Google su administrador de contraseñas. Las páginas de phishing a las que están vinculados están falsificadas para que parezcan reales. Por ejemplo, un dominio puede ser “la1contraseña[.]com” o “contraseña de aplicación1[.]Com” en lugar del original «1contraseña.com». O “guardián de aplicaciones[.]com” en lugar de «bitwarden.com». Si hace clic en dicha página, se le dirigirá a una página de inicio de sesión de apariencia legítima diseñada para robar sus importantes inicios de sesión del administrador de contraseñas.
3. Malware que roba contraseñas
Los ciberdelincuentes no son más que ingeniosos. Son tales las riquezas que se ofrecen que algunos se han tomado la molestia de desarrollar malware para robar credenciales de los administradores de contraseñas de las víctimas. Los investigadores de ESET detectaron recientemente uno de esos intentos por parte de una campaña patrocinada por el estado de Corea del Norte denominada «Desarrollo engañoso». Descubrió que el malware «InvisibleFerret» presentaba un comando de puerta trasera capaz de extraer datos tanto de las extensiones del navegador como de los administradores de contraseñas a través de Telegram y FTP. Entre los administradores de contraseñas atacados se encuentran 1Password y Dashlane.
En este caso particular, el malware estaba oculto en archivos descargados por la víctima como parte de un elaborado proceso de entrevista de trabajo falso. Pero no hay ninguna razón por la que el código malicioso con propiedades similares no pueda propagarse de otras maneras, como por correo electrónico, mensajes de texto o redes sociales.
4. Una infracción del proveedor del administrador de contraseñas
Los proveedores de administradores de contraseñas saben que son un objetivo importante para los actores de amenazas. Es por eso que dedican mucho tiempo y recursos a hacer que sus entornos de TI sean lo más seguros posible. Pero solo tienen que cometer un error para potencialmente dejar entrar a los malos. En 2022, este peor escenario sucedió con LastPass. Los ladrones digitales comprometieron la computadora portátil de un ingeniero de LastPass para acceder al entorno de desarrollo de la empresa. Allí robaron el código fuente y documentos técnicos que contenían credenciales, lo que les permitió acceder a las copias de seguridad de los datos de los clientes.
Esto incluía información personal y de cuenta de los clientes, que podría usarse para ataques de phishing posteriores. Una lista de todas las URL de sitios web en sus bóvedas. Y nombres de usuario y contraseñas para todos los clientes. Aunque estaban encriptados, el hacker pudo aplicarles “fuerza bruta” (como se analizó anteriormente). Se cree que esto ha provocado una enorme Cripto-atraco de 150 millones de dólares y es una advertencia de que incluso los proveedores mejor protegidos a veces podrían verse vulnerados.
5. Aplicaciones de administrador de contraseñas falsas
A veces, los ciberdelincuentes aprovechan la popularidad de los administradores de contraseñas en un intento de recopilar contraseñas y difundir malware a través de aplicaciones falsas. Incluso la App Store normalmente segura de Apple permitió uno de estos Aplicaciones maliciosas de administración de contraseñas que los usuarios descargaron el año pasado. Estas amenazas generalmente están diseñadas para robar esa importante contraseña maestra o descargar malware para robar información en el dispositivo del usuario.
6. Explotación de vulnerabilidades
Los administradores de contraseñas son, en última instancia, solo software. Y el software, al estar escrito (en su mayoría) por humanos, inevitablemente contiene vulnerabilidades. Si un ciberdelincuente logra encontrar y explotar uno de estos errores, es posible que pueda obtener credenciales de su bóveda de contraseñas. Alternativamente, podrían atacar vulnerabilidades en los complementos del administrador de contraseñas para que los navegadores web robar credenciales e incluso códigos de autenticación de dos factores (2FA). O podrían apuntar a los sistemas operativos de los dispositivos para hacer lo mismo. Cuantos más dispositivos haya descargado su administrador de contraseñas, más oportunidades tendrán de hacerlo.
Cómo proteger el uso de su administrador de contraseñas
Para protegerse contra las amenazas enumeradas anteriormente, considere lo siguiente:
- Piense en una frase de contraseña maestra segura, larga y única. Considere cuatro palabras memorables separadas por guiones. Esto hará que sea más difícil para un atacante aplicar «fuerza bruta».
- Mejore siempre la seguridad de sus cuentas activando 2FA. Esto significa que incluso si los piratas informáticos se apoderan de sus contraseñas, no podrán acceder a sus cuentas sin el segundo factor.
- Mantenga actualizados los navegadores, administradores de contraseñas y sistemas operativos para que tengan las versiones más seguras. Esto reduce las oportunidades de explotación de la vulnerabilidad.
- Descargue aplicaciones únicamente de una tienda de aplicaciones legítima (Google Play, App Store) y verifique la calificación del desarrollador y de la aplicación antes de hacerlo, en caso de que sean aplicaciones falsas o maliciosas.
- Elija únicamente un administrador de contraseñas de un proveedor confiable. Compare precios hasta que encuentre uno con el que se sienta cómodo.
- Asegúrese de instalar software de seguridad de un proveedor confiable en todos los dispositivos para mitigar la amenaza de ataques diseñados para robar contraseñas directamente desde su administrador de contraseñas.
Los administradores de contraseñas siguen siendo una parte clave de las mejores prácticas de ciberseguridad. Pero sólo si tomas precauciones adicionales. Los riesgos de seguridad siempre están evolucionando, así que manténgase al tanto de las tendencias de amenazas actuales para garantizar que sus credenciales en línea permanezcan bajo llave.
Acerca del autor
