Redazione RHC : 28 agosto 2025 17:56
Un experto en seguridad ha descubierto que seis de los gestores de contraseñas más populares, utilizados por decenas de millones de personas, son vulnerables al clickjacking, un fenómeno que permite a los atacantes robar credenciales de inicio de sesión, códigos de autenticación de dos factores e información de tarjetas de crédito.
El problema fue reportado inicialmente por el investigador independiente Marek Tóth, quien presentó un informe de vulnerabilidad en la reciente conferencia de hackers DEF CON 33. Sus hallazgos fueron posteriormente confirmados por expertos de Socket, quienes contribuyeron a informar a los proveedores afectados y coordinar la divulgación pública de las vulnerabilidades
Probó su ataque en Se analizaron variantes específicas de 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass y LogMeOnce, y se descubrió que todas las versiones del navegador podrían filtrar datos confidenciales en ciertos escenarios.
Los atacantes pueden explotar vulnerabilidades cuando las víctimas visitan páginas maliciosas o sitios vulnerables a ataques XSS o envenenamiento de caché. Como resultado, los atacantes pueden superponer elementos HTML invisibles en la interfaz del administrador de contraseñas. El usuario creerá que está interactuando con elementos clicables inofensivos en la página, pero en realidad, activará el autocompletado, lo que «filtrará» su información confidencial a los hackers.
El ataque se basa en la ejecución de un script en un sitio web malicioso o comprometido. Este script utiliza ajustes de transparencia, superposiciones o eventos de puntero para ocultar el menú desplegable de autocompletado del administrador de contraseñas del navegador. Al mismo tiempo, el atacante superpone elementos falsos y molestos en la página (como banners de cookies, ventanas emergentes o CAPTCHA). Sin embargo, al hacer clic en estos elementos, se abren controles ocultos del administrador de contraseñas, lo que genera formularios con información confidencial.
Se han demostrado varios subtipos de DOM y vulnerabilidades de explotación del mismo error: manipulación directa de la opacidad de elementos DOM, manipulación de la opacidad de elementos raíz, manipulación de la opacidad de elementos principales y superposición parcial o completa.
El investigador también demostró un método en el que la interfaz de usuario sigue al cursor del ratón, de modo que cualquier clic desde cualquier lugar activa el llenado automático de datos. Al mismo tiempo, Toth enfatizó que el script malicioso puede detectar automáticamente el administrador de contraseñas activo en el navegador de la víctima y, por lo tanto, adaptar el ataque a un objetivo específico en tiempo real.
Posteriormente, el investigador probó 11 administradores de contraseñas para Vulnerabilidades de clickjacking y se descubrió que todas eran vulnerables a al menos uno de los métodos de ataque. Aunque Toth informó a todos los proveedores sobre los problemas ya en abril de 2025 y les advirtió que la divulgación pública de las vulnerabilidades estaba prevista para DEF CON 33, no hubo respuesta inmediata. La semana pasada, Socket contactó de nuevo a los desarrolladores para reiterar la necesidad de asignar CVE a los problemas en los productos afectados.
Representantes de 1Password calificaron el informe del investigador de «informativo», argumentando que el clickjacking es una amenaza común de la que los usuarios deberían protegerse. Los desarrolladores de LastPass también consideraron el informe «informativo» y Bitwarden reconoció los problemas. Si bien la compañía no los consideró graves, se implementaron correcciones en la versión 2025.8.0, publicada la semana pasada. Los siguientes administradores de contraseñas, que en conjunto cuentan con aproximadamente 40 millones de usuarios, son actualmente vulnerables a ataques de clickjacking:
Los parches ya se han implementado en sus productos: Dashlane (v6.2531.1 publicada el 1 de agosto), NordPass, ProtonPass, RoboForm y Keeper (17.2.0 publicada en julio). Se recomienda a los usuarios asegurarse de tener instaladas las últimas versiones disponibles de estos productos.
RedazioneSe ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...
Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...
NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...
Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido repentinam...
Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la aparición de un ...
