Reseña de programas para recuperar contraseñas de clientes de correo electrónico

Reseña de programas para recuperar contraseñas de clientes de correo electrónico

Los clientes de correo como Microsoft Outlook o Mozilla Thunderbird suelen guardar las contraseñas de las cuentas de correo en archivos de configuración locales. Es práctico: no hace falta introducir la contraseña cada vez que consulta el correo. Pero también es un riesgo: si alguien obtiene acceso a su equipo —o simplemente a su perfil— puede intentar extraer esas contraseñas.

Sin embargo, estas utilidades no las usan solo los atacantes. Los escenarios son variados:

  • Un administrador de sistemas restaura el acceso al correo laboral de un empleado que renunció y no dejó la contraseña.
  • Alguien olvidó la contraseña y esta sigue guardada en el cliente de correo.
  • Forense o auditoría de seguridad informática: comprobar qué datos se pueden extraer del sistema en caso de compromiso.

Veamos cómo funciona esto y qué utilidades existen.

¿Cómo se almacenan las contraseñas en los clientes de correo?

Antes de hablar de la «recuperación» —más exactamente, extracción— de contraseñas, es importante entender cómo se almacenan:

  • Outlook: puede usar el Administrador de credenciales de Windows o cifrar las contraseñas en el perfil de Windows. Las versiones antiguas de Outlook (hasta 2016) a menudo guardaban contraseñas en el registro o en archivos .pst sin protección fiable.
  • Thunderbird: guarda las contraseñas en la base SQLite `logins.json`, protegida por una contraseña maestra. Si no se establece contraseña maestra, todo se puede extraer en texto claro.

En otras palabras, mucho depende de la versión del programa, de las opciones de seguridad y del sistema operativo.

Los programas más conocidos para extraer contraseñas

Existe todo un mercado (legal y no tanto) de programas capaces de «recordar» la contraseña olvidada por el usuario. Aquí están las herramientas más populares.

Mail PassView (NirSoft)

Una de las utilidades más conocidas de NirSoft, funciona casi al instante.

  • Soporta: Outlook Express, Windows Mail, Windows Live Mail, Thunderbird, IncrediMail, Eudora y otros.
  • No requiere instalación, pesa menos de 100 KB.
  • Muestra las cuentas, servidores, puertos y contraseñas en texto claro.
  • Puede ser bloqueado por antivirus (falsos positivos).

El programa es gratuito, pero requiere ejecución con privilegios de administrador.

Firefox Decrypt

Utilidad de código abierto que permite extraer los inicios de sesión guardados desde el perfil de Thunderbird.

  • Funciona con `logins.json` y `key4.db` (archivo con la llave maestra).
  • Si no hay contraseña maestra, todas las contraseñas se extraen en texto claro.
  • Si está establecida, se necesitará conocer la contraseña maestra (o recurrir a fuerza bruta).

Disponible en GitHub, multiplataforma (Python).

Passware Kit Forensic

Herramienta comercial potente, destinada a especialistas en ciberseguridad y peritaje forense.

  • Extrae contraseñas de más de 350 programas, incluidos Outlook y Thunderbird.
  • Soporta aceleración por GPU en ataques por fuerza bruta.
  • Precio: desde $995 por licencia.

Se utiliza en fuerzas del orden y en investigaciones corporativas, pero no es una solución para recuperación «casera».

Advanced Outlook Password Recovery (Elcomsoft)

Utilidad especializada de Elcomsoft, una de las empresas rusas más conocidas en el campo de la recuperación de datos.

  • Soporta archivos .pst y credenciales de Outlook en Windows.
  • Puede recuperar contraseñas maestras perdidas o eludirlas.
  • Existe una versión para peritaje forense (Forensic Edition).

Producto comercial, aunque dispone de un modo demo.

Windows Credential Manager 

Administrador de credenciales de Windows (Windows Credential Manager) —es una herramienta integrada que permite al sistema operativo guardar nombres de usuario, contraseñas y otros datos de autorización para diversos servicios: sitios web, aplicaciones, recursos de red y clientes de correo como Outlook.

Las credenciales pueden ser de los siguientes tipos:

  • Credenciales de Windows —para acceder a equipos de la red, carpetas compartidas y servicios.
  • Credenciales de certificados —por ejemplo, para VPN o tarjetas inteligentes.
  • Credenciales genéricas —usadas por aplicaciones, incluido Outlook, para almacenar contraseñas de servidores de correo.

Todos estos datos se guardan localmente y pueden estar protegidos por el sistema de cifrado de Windows (DPAPI). Sin embargo, si se dispone de privilegios de administrador y acceso local —son accesibles para ver y exportar, incluso mediante la línea de comandos.

vaultcmd.exe — utilidad de línea de comandos para gestionar el almacén

vaultcmd.exe —es una utilidad de consola que permite ver y gestionar el contenido del almacén de credenciales (vault) desde la línea de comandos. Forma parte de Windows y resulta especialmente útil en escenarios de automatización y diagnóstico.

Comandos principales: 

 vaultcmd /list — lista de todos los almacenes disponibles vaultcmd /listcreds:"Almacén" — lista de todas las credenciales en el almacén especificado vaultcmd /delete:"ID" — eliminar una entrada concreta vaultcmd /add:"Nombre" — añadir una nueva credencial

Ejemplo de uso: 

 vaultcmd /list vaultcmd /listcreds:"Windows Credentials"

Debe tenerse en cuenta que vaultcmd no permite mostrar las contraseñas en texto claro directamente; para eso se necesitan herramientas externas (por ejemplo, Mimikatz), que aprovechan vulnerabilidades o APIs internas de Windows para descifrar el contenido del almacén.

No obstante, el hecho de que existan credenciales en el sistema puede determinarse mediante vaultcmd, lo que ya es una parte importante de la recopilación de información al analizar un sistema comprometido.

Importante: en versiones recientes de Windows la utilidad vaultcmd está obsoleta. Microsoft recomienda usar PowerShell y la API de Credential Manager.

Legalidad y cuestiones éticas

Es importante entender que el uso de estas utilidades sin el consentimiento del propietario de los datos es ilegal. Incluso para recuperar el acceso en una organización, debe contarse con autorización por escrito o actuar dentro de las competencias laborales (por ejemplo, el departamento de TI).

En Rusia, como en la mayoría de los países, el acceso no autorizado a la información en el equipo ajeno es un delito penal. En cambio, recuperar las propias contraseñas es totalmente legal.

Los profesionales de la seguridad informática usan estas herramientas en el marco de auditorías: para demostrar lo fácil que resulta extraer datos si no existe protección básica —cifrado del perfil, contraseña maestra, autenticación de dos factores.

¿Cómo protegerse contra la extracción de contraseñas?

Si no desea que alguien acceda a su correo mediante estas utilidades, aquí tiene algunos consejos:

  • Use una contraseña maestra en Thunderbird.
  • Cifre el perfil de usuario de Windows (por ejemplo, con BitLocker).
  • Desactive el guardado de contraseñas en el cliente de correo (en su lugar, use gestores de contraseñas).
  • Active la autenticación de dos factores en la cuenta de correo.
  • Controle el acceso físico a su dispositivo y active el bloqueo automático de pantalla.

Conclusiones

Las herramientas para recuperar contraseñas de clientes de correo son un arma de doble filo. Pueden ayudar en una situación complicada, pero también pueden ser un instrumento de compromiso de datos. Todo depende del contexto de uso.

Si trabaja con equipos corporativos, realiza pruebas de penetración o forense, estas herramientas pueden serle útiles. Pero en la vida cotidiana es mejor centrarse en protegerse frente a ellas.

Si ha olvidado la contraseña, empiece por Mail PassView. Si trabaja en seguridad, considere Passware y Elcomsoft. Y recuerde: una contraseña apuntada en un papel y colocada bajo el teclado sigue siendo peor que una filtración desde Thunderbird.

Alt text

¿Estás cansado de que Internet sepa todo sobre ti?

¡Únete a nosotros y hazte invisible!