17 de febrero de 2026

Estudio revela que gestores de contraseñas líderes fallan en proteger la recuperación de cuentas

Estudio revela que gestores de contraseñas líderes fallan en proteger la recuperación de cuentas

ZÚRICH, SUIZA – Una investigación conjunta llevada a cabo por académicos de la ETH Zurich y la Università della Svizzera italiana ha puesto en duda las promesas de "conocimiento cero" (zero-knowledge) de algunos de los gestores de contraseñas más utilizados en el mundo. El estudio identificó una serie de fallos de seguridad que permitirían a un atacante recuperar contraseñas maestras o comprometer bóvedas completas bajo condiciones específicas.

Los investigadores Matteo Scarlata, Giovanni Torrisi, Matilda Backendal y Kenneth G. Paterson analizaron las arquitecturas de soluciones líderes como Bitwarden, Dashlane y LastPass, descubriendo que sus mecanismos de recuperación no son tan herméticos como se publicitaba.

Fallos estructurales en la recuperación

El núcleo del problema reside en cómo estas plataformas gestionan el restablecimiento de acceso cuando un usuario olvida su contraseña principal. Según el equipo de expertos, se detectaron múltiples vectores de ataque (denominados en el estudio como "ataques de recuperación de contraseña") que aprovechan debilidades en los protocolos de cifrado de extremo a extremo (E2EE).

"Los ataques varían en severidad, desde violaciones de integridad hasta el compromiso total de todas las bóvedas dentro de una organización", afirmaron los autores en su reporte. Lo más alarmante es que la mayoría de estas vulnerabilidades permiten la recuperación efectiva de las contraseñas almacenadas, rompiendo la premisa de que el proveedor del servicio nunca tiene acceso a los datos del cliente.

Los puntos críticos del estudio

La investigación resalta varios hallazgos clave que afectan la confianza en estos servicios:

  • Compromiso del servidor: El modelo de amenaza asume un servidor malicioso (o uno comprometido por un tercero). En este escenario, las protecciones de "conocimiento cero" fallan al no validar correctamente ciertos intercambios de claves durante el proceso de recuperación.

  • Recuperación de contraseñas: A diferencia de otros fallos que solo permiten bloquear el acceso, estos métodos permiten que un atacante extraiga activamente la información sensible de los usuarios.

  • Alcance corporativo: En entornos empresariales, un solo fallo en las políticas de recuperación podría exponer las credenciales de todos los empleados de una organización, facilitando ataques de movimiento lateral a gran escala.

Implicaciones para la industria

Este estudio surge como una advertencia necesaria en un momento donde los gestores de contraseñas se consideran la "piedra angular" de la higiene digital. Los investigadores subrayan que, aunque estas herramientas siguen siendo preferibles a la reutilización de contraseñas, los desarrolladores deben rediseñar sus sistemas de recuperación para garantizar que ni siquiera un compromiso total de sus propios servidores pueda derivar en el descifrado de los datos del usuario.

Hasta el momento, las empresas mencionadas han comenzado a revisar los hallazgos para implementar parches que mitiguen estos riesgos en sus futuras actualizaciones de infraestructura.

Fuente: https://thehackernews.com/2026/02/study-uncovers-25-password-recovery.html
← Anterior Detectan el primer robo de "identidad" d...
Siguiente → Un nuevo kit de espionaje masivo que oto...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Detectan el primer robo de "identidad" de agentes de IA mediante infostealers
Un nuevo kit de espionaje masivo que otorga control total sobre dispositivos iOS y Android
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio