Lo que parecía una caja fuerte digital tiene grietas. Un investigador de seguridad reveló en DEF CON 33 una vulnerabilidad crítica en extensiones de gestores de contraseñas. Estas incluyen 1Password, LastPass, Bitwarden o iCloud Passwords. Con un solo clic en la web equivocada podría exponer tus credenciales.
¿Cómo funciona este ataque y por qué es tan peligroso?
El fallo se basa en una técnica de clickjacking que manipula elementos invisibles insertados en las páginas web. Con simples cambios de opacidad o capas superpuestas, un atacante puede lograr que el usuario haga clic “a ciegas”. Así, el autocompletado de contraseñas se activa en segundo plano sin que el usuario se dé cuenta.
Lo más preocupante es que no siempre se necesita una página fraudulenta. Basta con que un sitio legítimo tenga un fallo de seguridad para que el atacante capture credenciales. Para empeorar las cosas, muchos gestores rellenan datos no solo en el dominio principal. Rellenan también en subdominios, lo que amplía la superficie de ataque.
El alcance no es menor: el estudio estima que más de 40 millones de instalaciones activas podrían estar expuestas. Entre los gestores afectados figuran 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass y LogMeOnce, aunque algunos ya han publicado parches (como Bitwarden con su versión 2025.8.0). Otros, como NordPass, Dashlane o ProtonPass, aplicaron medidas correctivas más rápido.
¿Qué podemos hacer los usuarios mientras llegan los parches?
Aunque no todo es tan inmediato como hacer clic y perderlo todo, el ataque requiere que la extensión esté desbloqueada. Además, el usuario debe interactuar en el momento preciso. Los expertos recomiendan medidas prácticas para minimizar el riesgo:
- Desactivar el autocompletado automático y usar copiar/pegar.
- Configurar coincidencia exacta de URL para el relleno de credenciales.
- Limitar el acceso de la extensión a “solo al hacer clic” en navegadores basados en Chromium.
Por otro lado, este hallazgo no solo afecta a gestores de contraseñas. La misma técnica podría aplicarse a otras extensiones sensibles, como carteras de criptomonedas o apps de notas privadas.
Puedes seguir a HardwarePremium en Facebook, Twitter (X), Instagram, Threads, BlueSky o Youtube. También puedes consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.
