Un experto en seguridad dice que las actualizaciones automáticas de un popular gestor de claves abren una puerta a ataques de hackers. En teoría, esto podría haber llevar al robo de tus credenciales de acceso de bancos, correo y páginas web.
Ese gestor de passwords es Bitwarden y la vulnerabilidad está en la aplicación para PCs y Macs. Su capacidad de descargar actualizaciones automáticas y reemplazar su propio código sin ninguna intervención del usuario abre un claro y enorme vector de ataque, afirma el experto y co-fundador de la firma de seguridad Keytern.al Jeffrey Paul. En teoría, dice, un hacker o el propio desarrollador de la aplicación podría usar esta función para instalar una puerta trasera sin tu conocimiento y robar tus claves de la base de datos sin que el usuario se de cuenta.
En un post de GitHub, Paul expone por qué es un error que Bitwarden permita que sus desarrolladores puedan ejecutar código de forma remota: "el hecho de que un gestos de claves permite el ACCESO TOTAL PARA EJECUTAR CÓDIGO DE FORMA REMOTA es una locura. El mero hecho de que incluyas esta función significa que no estás cualificado de ninguna manera para proteger claves o credenciales de autenticación [...] esto te permite publicar una nueva versión, enteramente por tu cuenta, que pueda entrar por la puerta de atrás en cualquier instalación y robar todas las claves de todos los usuarios de esta aplicación".
Paul también dice que un tercero podría convencer a los desarrolladores de Bitwarden para añadir la puerta trasera a este gestor de claves. Por ejemplo, un hacker podría tener información comprometedora sobre los desarrolladores para chantajearles y así ganar acceso. O pagarles a cambio de acceder a un objetivo determinado de gran valor. Y eso sin hablar del hecho de que un hacker podría penetrar sus sistemas e instalar la puerta trasera sin que nadie se de cuenta.
Es una función, no una vulnerabilidad, dice Bitwarden
Bitwarden no es el único software que descarga e instala actualizaciones de forma automática. Windows y macOS también pueden instalar software sin que el usuario lo tenga que aprobar. Sin embargo, cuesta más creer que Microsoft o Apple puedan caer víctimas de ataques externos por el gran número de controles que, en teoría, tienen en funcionamiento.
Desde TechRadar Pro nos hemos puesto en contato con Bitwarden para que comenten sobre las afirmación de Paul. Un portavoz de la compañía dice que esta capacidad no es una vulnerabilidad sino una función — la manera en que aplicaciones modernas mantienen a sus usuarios actualizados con la última versión de la aplicación de la forma más sencilla y rápida posible.
Bitwarden cree que esta auto-actualización sin pedir permiso al usuario es un componente crítico de seguridad y que el 99,9% de sus usuarios aprecian esta capacidad. Según ellos, nunca ha habido un caso en los que sus actualizaciones automáticas hayan sido usadas de forma maliciosa por nadie. Por lo menos que ellos sepan, añadiría yo, porque lo cierto es que esta capacidad es un vector de ataque importante.
La compañía no las debe tener todas consigo porque afirma que está planeando añadir una opción para desactivar las actualizaciones automáticas. Al mismo tiempo, Bitwarden dice que se ha comprometido a que una auditoria externa pruebe y certifique la seguridad de su programa y servicios.
