Utilizar un gestor de contraseñas es algo bastante común para almacenar las claves. Es útil para no tener que memorizar tantas y, también, para generarlas con seguridad. El problema es que, en ocasiones, podemos encontrarnos con que un programa que usamos tiene alguna vulnerabilidad. Es lo que ha ocurrido con un fallo de seguridad que han detectado en KeePass, uno de los gestores de claves más populares. Vamos a explicarte en qué consiste y qué puedes hacer.
Los administradores de contraseñas pueden ser online y también offline. Generalmente son los primeros los que suelen tener más riesgos, ya que tus claves se almacenan en la nube. Pero eso no significa que también pueda haber fallos con aplicaciones para gestionar claves en tu propio dispositivo.
Fallo de seguridad en KeePass
Esta vulnerabilidad de KeePass ha sido registrada como CVE-2023-32784. En caso de que un atacante la explote, podría recuperar la clave maestra a través del sistema, incluso si éste no está en ejecución o está bloqueado. Para demostrar el problema, un investigador de seguridad ha creado la herramienta KeePass 2.X Master Password Dumper que se encarga de analizar los volcados de memoria y mostrar la clave en texto plano.
Concretamente, significa que este fallo de seguridad puede devolver todos los caracteres de la contraseña maestra, a excepción del primero. Pero claro, una vez tienes todos los caracteres menos uno, no resulta demasiado complicado averiguar el que falta. No obstante, indican que no es muy probable que este fallo se explote a gran escala.
Independientemente de si es más o menos probable que se pueda explotar a gran escala, sin duda se trata de un problema importante. El hecho de tener acceso a la clave maestra de KeePass, significa que un hipotético atacante podría tener el control sobre todas las contraseñas que se han almacenado.
Solución al problema
Los desarrolladores de KeePass ya trabajan en solucionar el problema. Aseguran que una futura actualización, KeePass 2.54, evitará esta vulnerabilidad. Pero para eso quedan aún semanas hasta que esté disponible. No obstante, indican que están trabajando para acortar los tiempos lo máximo posible. Por parte de los investigadores detrás de este descubrimiento, dan algunas opciones para solucionar el problema. Una de ellas pasa por eliminarla hibernación del equipo. También recomiendan cambiar la contraseña maestra, para disminuir el riesgo al máximo. Además, aconseja a los usuarios de Windows utilizar software para el cifrado de disco.
Un problema importante es usar una contraseña que sea débil y pueda ser predecible. Si un atacante logra obtener parte de los caracteres de esa clave y ésta es muy sencilla, no tendrá muchas dificultades en averiguar los que faltan. En cambio, si la contraseña es totalmente aleatoria y usa caracteres que no tengan relación alguna con el usuario, es más complicado que puedan averiguarla.
Por tanto, es importante que uses una clave realmente fuerte. Utiliza letras (mayúsculas y minúsculas), números y otros símbolos especiales. Evita usar palabras o cifras que puedan ser fáciles de averiguar y eso te ayudará bastante a proteger tu seguridad, no solo a la hora de usar el gestor de contraseñas KeePass.
Como ves, en caso de utilizar KeePass puedes correr el riesgo de que rompan tu clave maestra. Aunque es poco probable que ocurra, es un problema que está presente. Puedes seguir los consejos que hemos dado hasta que lancen la futura actualización que solucionará este error.
Alternativas a KeePass
Actualmente existen muchas alternativas y opciones para tener un gestor de contraseñas seguro. Por ejemplo, la mayoría de servicios VPN disponen también de un gestor de contraseñas, aunque lógicamente este servicio es de pago en la mayoría de casos. NordPass es la solución de administración de contraseñas de la popular NordVPN, lo mismo ocurre con pCloud Pass que es la solución para gestionar todas las claves de manera centralizada de pCloud, el popular servicio de almacenamiento en la nube.
Muchos usuarios no confían en servicios en la nube para almacenar sus contraseñas, y prefieren hacerlo de manera local, si este es tu caso, entonces tu solución favorita será bitwarden o vaultwarden ya que se puede instalar el servidor en un NAS usando Docker, y todos los clientes del popular gestor de contraseñas guardarán toda la información localmente en nuestro servidor. Para acceder de forma remota y segura, puedes hacer uso de una VPN o bien un proxy inverso, ambas formas son muy seguras y te permitirán añadir una capa de confidencialidad y autenticidad de todos los datos transmitidos.