Con este nuevo ataque están robando tus contraseñas en el móvil sin que te des cuenta
Los piratas informáticos siempre buscan la manera de robar contraseñas, datos personales o tomar el control del dispositivo. En este caso, nos hacemos eco de un nuevo descubrimiento por parte de investigadores de seguridad en el que han creado un ataque que roba claves de acceso a través de gestores de contraseñas de Android. Lo han presentado en la conferencia de seguridad Black Hat Europe. Como vas a ver, es un problema importante que conviene tener presente.
A este tipo de ataque lo han denominado AutoSpill. Según indican, afecta a la mayoría de gestores de contraseñas de Android. Esto puede ocurrir incluso sin inyección de JavaScript. Lo que hacen es aprovechar que este tipo de aplicaciones utiliza WebView para mostrar contenido, como puede ser la página de inicio de sesión. Esto sirve para facilitar el inicio de sesión y no tener que salir al navegador principal.
Explotan fallos en WebView
Este grupo de investigadores de seguridad, ha demostrado cómo pueden explotar fallos en WebView para llegar a capturar las credenciales de los usuarios. Cuando aparecen las contraseñas autocompletadas, pueden llegar a obtener esa información. En caso de que estén habilitadas las inyecciones de JavaScript, cualquier gestor de claves sería vulnerable a este ataque denominado AutoSpill.
Pero, ¿por qué ocurre este problema? Según indican, esto pasa porque Android no aplica bien la responsabilidad en el manejo seguro de los datos autocompletados. Esto es lo que puede provocar que se filtre o un intruso pueda capturarlos a través de la aplicación encargada de administrar esas claves. Un punto importante a destacar, es que en caso de que un atacante logre explotar este fallo con éxito, no dejaría rastro. Es decir, la víctima no sabría que le han robado las contraseñas. Podría seguir utilizando con normalidad el teléfono, creer que tus claves están protegidas pero, en realidad, un intruso ha logrado robarlas.
Muchos gestores afectados
Este grupo de investigadores de seguridad han realizado pruebas en diferentes versiones de Android, así como en administradores de claves tan populares como 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 o Keepass2Android 1.09c-r0. Todos ellos son vulnerables a este ataque AutoSpill. Lógicamente, estos investigadores de seguridad informaron rápidamente del hallazgo a los responsables de seguridad de Android y de los diferentes gestores de contraseñas. Es de esperar que lancen parches y actualizaciones lo antes posible.
Como siempre, recomendamos mantener las aplicaciones correctamente actualizadas y evitar así este tipo de vulnerabilidades. Es algo completamente normal que haya fallos de seguridad en las aplicaciones, y cuando unos investigadores de seguridad descubren estos bugs, suelen reportar a las empresas 3 meses antes de publicar sus hallazgos con el objetivo de que puedan solucionarlo lo antes posible, y dar tiempo a sus clientes de actualizar. Por este motivo, es tan importante que actualices cuanto antes todas las aplicaciones, sobre todo las que afectan directamente a la privacidad y seguridad de los usuarios. Cuando tenemos un gestor de contraseñas, es muy importante tenerlo siempre actualizado a la última versión con el objetivo de no tener problemas de seguridad por algún bug que hayan descubierto.
Como consejo adicional, te recomendamos que cambies tus contraseñas de vez en cuando. En caso de que haya alguna filtración y se vean comprometidas, no vas a tener problemas y, al menos, la protección va a ser mejor. Eso sí, es importante siempre utilizar claves que sean seguras, fuertes y difíciles de averiguar. Lo ideal es que uses contraseñas totalmente aleatorias, las puedes crear directamente desde tu gestor de contraseñas y así las tendrás guardadas en dicho gestor y no tendrás que aprenderla.
Además, habilitar la autenticación en dos pasos cuando sea posible, va a ser clave para no tener problemas. En caso de que roben tu contraseña, van a necesitar ese segundo paso para poder entrar en tu cuenta. Una protección extra que, sin duda, debes aplicar a tus cuentas bancarias, redes sociales, etc. Hoy en día la mayoría de servicios de Internet disponen de este tipo de seguridad adicional, hoy en día lo consideramos algo totalmente habitual, y necesario para proteger tus cuentas correctamente. De hecho, algunos de los «gigantes» de Internet como Google o Amazon nos permiten tener un segundo factor de autenticación con una llave U2F para tener un dispositivo físico con el que autenticarnos. Si alguien crea un keylogger para robar tus claves, estarán más protegidas.