Investigadores de ciberseguridad reportan que la función para generar contraseñas en la popular herramienta Kaspersky Password Manager se veía afectada por múltiples vulnerabilidades debido a las deficientes prácticas criptográficas de la compañía. El conjunto de fallas fue identificado como CVE-2020-27020 y fue descubierto desde 2019, aunque el problema fue abordado hasta octubre de 2020.
Kaspersky Password Manager es una herramienta diseñada para almacenar de forma segura contraseñas y documentos en una bóveda cifrada. Al parecer, los problemas existen debido a que esta tecnología utilizaba un método demasiado inusual para la generación de palabras clave.
Aunque el fabricante pidió a los usuarios actualizar a Kaspersky Password Manager 9.0.2 Patch M y volver a generar contraseñas para sus plataformas, estas fallas no fueron completamente corregidas sino hasta abril de 2021, cuando se abordaron los problemas en la versión móvil.
Es julio de 2021 y Kaspersky considera que se ha dado el tiempo suficiente para que los usuarios activos de Password Manager actualizaran a la versión segura, por lo que se ha permitido la publicación de una descripción detallada de un potencial ataque. Acorde al investigador Jean-Baptiste Bédrune, la debilidad existía porque la herramienta usa la hora actual del sistema como su única fuente de entropía, lo que derivaba en la generación de contraseñas relativamente débiles.
Como resultado, a cada usuario que intentó generar una contraseña al mismo tiempo se le ofreció la misma contraseña sugerida. Esto también significa que cualquier contraseña generada con la tecnología quedaba vulnerable a un ataque de fuerza bruta basado en un diccionario de posibles contraseñas.
Al respecto, Kaspersky reconoció que el problema existía tal como lo describió el experto, aunque la compañía asegura que la falla no es tan grave como parecería: “Hemos solucionado un problema de seguridad en Kaspersky Password Manager, que habría permitido a los actores de amenazas encontrar las contraseñas generadas por esta herramienta. La explotación solo es posible en caso de que el atacante conozca detalles confidenciales del usuario objetivo y la hora exacta en que se genera una contraseña, algo realmente improbable”, señala Kaspersky.
No obstante, Bédrun cree que la falla no debe ser subestimada: “Lo que Kaspersky quiere decir es que si un atacante intenta adivinar la contraseña de una víctima usando Kaspersky Password Manager en su primer intento, tendrá que saber el momento en que se creó la contraseña, omitiendo el detalle de que este ataque podría ser completado con métodos poco sofisticados, como ataques de fuerza bruta.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
