
Los administradores de contraseñas están diseñados para proteger tus contraseñas e información confidencial, pero también pueden ser explotados, permitiendo a los atacantes acceder a esta información. Un método de clickjacking basado en DOM, recientemente descubierto, puede engañar a algunos administradores de contraseñas para que rellenen automáticamente las credenciales en formularios maliciosos. A continuación, profundizamos en cómo funciona este ataque y cómo puedes reforzar tus defensas.
Comprender la vulnerabilidad de los administradores de contraseñas
Hallazgos recientes destacan una vulnerabilidad del Modelo de Objetos de Documento (DOM) que facilita una variante del clickjacking, permitiendo a los atacantes activar subrepticiamente la función de autocompletado de los administradores de contraseñas. Esto puede conducir al robo de datos confidenciales, como contraseñas, códigos TOTP/2FA e información de tarjetas de crédito. La mecánica de este ataque se desarrolla de la siguiente manera:
- El usuario llega a una página web controlada por el atacante, que presenta un elemento clicable aparentemente benigno, por ejemplo, un banner de consentimiento de cookies o un botón de cierre emergente.
- Utilizando trucos de visibilidad DOM, el atacante coloca un formulario invisible sobre el elemento cliqueable legítimo configurando
opacity:0
. - Al hacer clic, el administrador de contraseñas del usuario completa automáticamente el formulario oculto con las credenciales guardadas, lo que permite a los ciberdelincuentes capturarlas.
Toda esta operación ocurre de forma silenciosa, a menudo sin que el usuario se dé cuenta de que su información ha sido comprometida. Un estudio reciente evaluó 11 gestores de contraseñas líderes y sugirió que la mayoría con funciones de autocompletado son vulnerables. Ante estos hallazgos, varios gestores de contraseñas han publicado actualizaciones que incorporan una solicitud de confirmación para el autocompletado; sin embargo, muchos siguen en riesgo.
Sin embargo, la mayoría de estos parches funcionan como soluciones temporales que no solucionan el problema subyacente, originado en los procesos de renderizado de páginas web de los navegadores. Como señala 1Password, «el problema principal radica en cómo los navegadores renderizan las páginas web; creemos que una solución técnica completa no puede proporcionarse únicamente con extensiones de navegador».
Para mitigar los riesgos asociados con los ataques de clickjacking, tenga en cuenta las siguientes prácticas recomendadas, además de mantener actualizada la extensión de su administrador de contraseñas.
Desactivar el autocompletado en su administrador de contraseñas
Dado que el autocompletado es la principal función explotada en estos ataques, desactivar esta función puede mejorar significativamente su seguridad. En lugar de rellenar los campos automáticamente, deberá rellenarlos manualmente haciendo clic en un botón designado cuando sea necesario.

Para desactivar el autocompletado, ve a la configuración de tu extensión de administrador de contraseñas y busca el interruptor en la sección Autocompletar y guardar. Desactiva el autocompletado al enfocar para evitar la entrada automática.
Configurar extensiones para acceso con un clic o específico del sitio
La mayoría de los navegadores permiten configurar extensiones para que se activen exclusivamente en ciertos sitios web o solo al activarse manualmente mediante el icono de la extensión. Al configurar estos parámetros, se puede proteger eficazmente contra acciones de autocompletado no deseadas en sitios diseñados para navegación genérica.
Visita la página de Extensiones de tu navegador y accede a la información de tu administrador de contraseñas. Busca la sección » Acceso al sitio», que suele estar configurada en «En todos los sitios» de forma predeterminada. Cámbiala a » Al hacer clic » o especifica sitios específicos según tus preferencias. Seleccionar » Al hacer clic» restringe la activación al hacer clic en su icono, mientras que » En sitios específicos» la habilita solo en sitios web predefinidos.

Opte por aplicaciones de escritorio o móviles en lugar de extensiones de navegador
Dado que los ataques de clickjacking se centran principalmente en las extensiones del navegador, aprovechar las aplicaciones nativas de escritorio o móviles de su gestor de contraseñas puede reducir su vulnerabilidad. Estas aplicaciones suelen ofrecer opciones sencillas de búsqueda y copia para agilizar la entrada manual de datos.
Al acceder a una página de inicio de sesión, simplemente busque sus credenciales en la aplicación del administrador de contraseñas y use la función de copia para facilitar el ingreso.
Utilice una extensión de bloqueo de scripts
Muchos ataques de clickjacking dependen en gran medida de scripts que se ejecutan en la página web, por lo que los bloqueadores de scripts son una línea de defensa eficaz. Si bien bloquear JavaScript puede frustrar estos ataques, recomendamos un enfoque más amplio: bloquear todos los scripts en dominios no confiables para una seguridad óptima.

NoScript es una extensión robusta que satisface esta necesidad, disponible tanto para Chrome como para Firefox. Bloquea automáticamente diversos tipos de scripts activos, incluido JavaScript, lo que permite habilitar scripts de forma selectiva en sitios de confianza.
Consejo adicional: Mejore la seguridad de su cuenta
Para protegerse contra el robo de credenciales, es crucial implementar una medida de seguridad adicional. La autenticación de dos factores (2FA) es muy recomendable; sin embargo, utilice un método de 2FA robusto que vaya más allá de la verificación por SMS, que suele ser vulnerable. TOTP es un buen punto de partida, pero asegúrese de que la aplicación de autenticación esté ubicada en un dispositivo diferente. Además, considere usar claves de acceso o llaves de seguridad de hardware para una protección aún mayor.
Para limitar posibles vulnerabilidades, evite depender excesivamente de soluciones de inicio de sesión automático. Aunque puede requerir pasos adicionales, este pequeño inconveniente mejora significativamente su seguridad, especialmente si almacena mucha información confidencial en su administrador de contraseñas.
Deja una respuesta