Conecta con nosotros

Noticias

Norton Password Manager, ¿Otro gestor de contraseñas con problemas?

Publicado

el

gestores de contraseñas

Los gestores de contraseñas son una buena manera de reducir los errores humanos en el manejo del que sigue siendo el principal método de autenticación para acceder a páginas web y servicios en Internet donde estamos registrados. Este tipo de software automatiza el proceso de generación de contraseñas, cumpliendo las normas estándar en tamaño, complejidad y diversidad de las mismas.

Además, mejoran la comodidad del usuario ya que éste solo necesita recordar una contraseña maestra y el gestor hará el resto del trabajo. También ayudan contra los ataques de phishing al identificar de forma inmediata los caracteres procedentes de otros alfabetos. Hasta aquí todo parecen ventajas. Pero, ¿y si los mismos gestores de contraseñas se ven comprometidos? «Houston, tenemos un problema».

Uno de los peores incidentes de ciberseguridad en 2022 fue el de LastPass. Es uno de los gestores más populares y por ello ha sido fuente frecuente de ciberataques. El último del mes de agosto fue peor de lo que en su día se informó. Los atacantes consiguieron acceder a información personal y a otros metadatos relacionados, y también robaron código fuente e información técnica del servicio.

Norton Password Manager, otro con problemas

Gen Digital, que engloba a compañías de seguridad como Symantec Corporation y NortonLifeLock, está enviando notificaciones a sus clientes para informar que piratas informáticos desconocidos violaron con éxito las cuentas de Norton Password Manager en ataques de relleno de credenciales. Este tipo de ataques es simple y consiste en utilizar las credenciales conseguidas por una violación de datos de un gran servicio para intentar iniciar sesión en otro servicio no relacionado.

Más específicamente, el aviso explica que alrededor del 1 de diciembre de 2022, un atacante usó pares de nombre de usuario y contraseñas compradas en la web oscura para intentar iniciar sesión en las cuentas de los clientes de Norton. La empresa detectó «un volumen inusualmente grande» de intentos de inicio de sesión fallidos el 12 de diciembre de 2022, lo que indica ataques de relleno de credenciales donde los ciberdelincuentes prueban credenciales en masa. A finales de año la empresa había completado su investigación interna, revelando que el ataque había comprometido con éxito un número no revelado de cuentas de clientes.

Hay que decir que los ataques no fueron el resultado de una violación de Norton y sus servicios generales no fueron comprometidos. Sin embargo, los asaltantes se hicieron con el nombre, apellido, número de teléfono y dirección postal de las cuentas comprometidas. Y aún peor, podrían haber obtenido detalles almacenados en las bóvedas privadas.

La compañía dice que restableció las contraseñas del Norton Password Manager Norton en las cuentas afectadas para evitar que los atacantes obtuvieran acceso a ellas en el futuro, implementó medidas adicionales para contrarrestar ataques futuros y aconseja a los clientes que habiliten la autenticación de dos factores para proteger sus cuentas.

gestores de contraseñas

Hay que insistir en lo obvio, la capacidad de estos administradores es superior a la de la gestión humana, y también más cómoda, pero no son infalibles. Las opciones más conocidas en gestores de contraseñas son servicios web comerciales y/o de pago, que requieren que deposites en ellos una confianza como para entregarle las llaves de tu casa digital, por lo que que caso de usarlos apostaríamos siempre por gestores de contraseñas de código abierto, que ofrecen la posibilidad de auditar el software y sobre todo mantener las credenciales bajo tu propio control.

Y si no quieres usar estos gestores, te recomendamos seguir esta Guía de buenas prácticas para manejar las contraseñas. Un método horrible tanto en seguridad como en usabilidad, pero que hasta no se consoliden métodos más avanzados que tienen que llegar de la identificación biométrica, tendremos que seguir usándolas. Como consejo final: habilita la autenticación de dos factores en todos los servicios que uses. La inmensa mayoría ya lo ofrecen y es una buena manera de mejorar la seguridad.

Lo más leído