Varios gestores de contraseñas líderes expuestos a ataques de clickjacking que roban contraseñas.
Varios administradores de contraseñas pueden ser vulnerables a ataques que buscan robar información.
En la reciente conferencia DEF CON 33, el investigador independiente Marek Tóth presentó un ataque de clickjacking que podría aprovechar las capacidades de autocompletar de seis de los gestores de contraseñas más populares. Este ataque permite robar contraseñas, códigos de autenticación de dos factores (2FA) y datos de tarjetas de crédito, lo que representa una grave preocupación para millones de usuarios que utilizan estos programas.
Tóth realizó pruebas del ataque en versiones de 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass y LogMeOnce, encontrando que las variantes basadas en navegadores pueden filtrar información almacenada bajo ciertas condiciones. El método del ataque se basa en la manipulación de un sitio web mediante configuraciones de opacidad, superposiciones o eventos de puntero, haciendo que la funcionalidad de autocompletar del gestor de contraseñas parezca invisible. Esto puede llevarse a cabo en sitios maliciosos o en aquellos que han sido comprometidos.
El atacante puede utilizar un pop-up o un CAPTCHA que redirija los clics del usuario hacia los controles ocultos del gestor de contraseñas, rellenando automáticamente los datos en el formulario y robándolos de esta manera. Un aspecto que hace que este vector de ataque sea aún más preocupante es la posibilidad de que el atacante utilice un script universal para identificar el gestor de contraseñas activo en el navegador y ajustar su ataque específicamente a él.
Durante la conferencia, Tóth demostró otras variaciones de este ataque, incluyendo subtipos basados en DOM que abusan de la opacidad a diferentes niveles, así como un ataque que puede activar el autocompletado en cualquier lugar donde el cursor se posicione.
El investigador notificó a las empresas afectadas sobre este vector de ataque en abril de 2025, indicando su intención de hacer la divulgación pública en DEF CON 33 en agosto. Investigadores en ciberseguridad de Socket confirmaron los métodos utilizado por Tóth y ayudaron a informar a los gestores de contraseñas involucrados.
A pesar de los avances en la seguridad, varios gestores de contraseñas siguen siendo vulnerables, incluyendo las siguientes versiones:
- 1Password 8.11.4.27
- Bitwarden 2025.7.0
- Enpass 6.11.6 (con una solución parcial implementada en 6.11.4.2)
- iCloud Passwords 3.1.25
- LastPass 4.146.3
- LogMeOnce 7.12.4
Sin embargo, las versiones más recientes de Dashlane, NordPass, ProtonPass, RoboForm y Keeper han sido actualizadas para protegerse contra este vector de ataque, y LastPass y LogMeOnce están trabajando en complementos de seguridad.
En respuesta a las preocupaciones planteadas, varias empresas comentaron sobre la situación. LastPass expresó su agradecimiento a los investigadores de seguridad y destacó los desafíos que enfrentan todos los gestores de contraseñas para equilibrar la experiencia del usuario con la seguridad frente a amenazas en evolución. Por su parte, 1Password reconoció que el clickjacking es un problema generalizado en la web, enfatizando su enfoque en dar más control a los usuarios mediante la implementación de confirmaciones antes de autocompletar información sensible.
