Tu caja fuerte tiene un agujero. Los administradores de contraseñas mienten sobre la seguridad

Investigadores de ETH Zurich y USI Lugano analizaron los cuatro administradores de contraseñas más populares: Bitwarden, Dashlane, LastPass y 1Password. Las conclusiones son bastante alarmantes. Estas empresas han prometido el llamado modelo de «conocimiento cero», es decir, una arquitectura en la que ni siquiera ellos mismos tienen acceso a sus contraseñas descifradas. En la práctica, resulta que esta promesa tiene claros defectos y, en algunos casos, se rompe por completo.

Colectivamente, los investigadores descubrieron 27 escenarios de ataque: 12 en Bitwarden, 7 en LastPass, 6 en Dashlane y 2 en 1Password. Bajo ciertas condiciones, lograron obtener acceso a bóvedas de contraseñas completas usuarios y, en algunos escenarios, incluso les guardan datos. Sin embargo, las vulnerabilidades no aparecen en el uso estándar. solo se activan cuando se activan funciones específicasprincipalmente los mecanismos del llamado depósito de claves, que le permite restaurar el acceso a la caja fuerte después de perder la contraseña maestra.

El contexto técnico es importante aquí. Los investigadores operaron en el llamado modelo de servidor malicioso – su escenario supone que el atacante ya ha tomado el control de la infraestructura del proveedor. Esta no es una vulnerabilidad que un pirata informático pueda explotar de forma remota contra su cuenta desde el exterior. Sólo después de que los servidores de la empresa se ven comprometidos estas vulnerabilidades se vuelven peligrosas. Esto suena como un escenario lejano, pero este tipo de ataques a proveedores han ocurrido en el pasado, y el propio LastPass fue víctima de un ataque en 2022.

Lo más preocupante no es la complejidad de las vulnerabilidades descubiertas, sino su simplicidad. Los investigadores enfatizan que la mayoría de los errores encontrados fueron relativamente fáciles de explotar – lo que sugiere una falta de verificación suficiente de los supuestos criptográficos subyacentes a todo el modelo de seguridad. También advierten que sus conclusiones son altamente probables. se refieren no sólo a las cuatro aplicaciones analizadassino toda una clase de productos similares.

Los productores ya están reaccionando. Dashlane eliminó la vulnerabilidad más grave en la actualización de noviembre de 2025. Bitwarden ha solucionado o parcheado activamente 7 de los 12 problemas identificados, LastPass ha implementado medidas de seguridad ad hoc y 1Password ha identificado dos de sus casos como limitaciones arquitectónicas conocidas. Es importante destacar – No hay evidencia de que alguien haya explotado estas vulnerabilidades en la práctica..

¿Qué significa esto en la práctica? Un administrador de contraseñas sigue siendo una mejor opción que usar las mismas tres contraseñas en todas partes. Sin embargo, vale la pena saber que funciones de recuperar el acceso a la caja fuerte – aquellos que le permiten recuperar contraseñas incluso después de perder su contraseña maestra – funcionan precisamente porque el proveedor guarda una copia de su clave de cifrado. Y ahí es donde los investigadores encontraron lagunas. Si no necesita esta opción, considere desactivarla para máxima seguridad, pero luego corre el riesgo de perder sus datos por completo si pierde u olvida dónde está su contraseña/clave de acceso.