Un clic invisible — y un hacker sabe todo sobre ti: 1Password, LastPass y Bitwarden en la mira.

Extensiones populares para navegadores que se usan para gestionar contraseñas resultaron ser vulnerables a una nueva técnica de ataque llamada DOM-based extension clickjacking. El método lo describió el investigador independiente Marek Tóth en la conferencia DEF CON 33. Según él, al atacante le basta con crear un sitio malicioso con una ventana emergente falsa para que, al hacer clic en ella, el usuario active sin querer el autocompletado y datos confidenciales —desde cuentas y códigos de autenticación en dos pasos hasta información de pago— se envíen al servidor del atacante.

Clickjacking, también llamado UI redressing, se basa en que el usuario ve en pantalla elementos inofensivos, pero en realidad su acción se aplica a objetos ocultos. En la nueva implementación se usan componentes de interfaz que los propios gestores de contraseñas insertan en la estructura de la página web. El atacante, mediante un script, deja estos elementos invisibles anulando su opacidad. Como resultado, pulsar un botón para cerrar un banner o un formulario provoca el llenado automático y la filtración de información.

Tóth probó 11 gestores de contraseñas más comunes, entre ellos 1Password, iCloud Passwords, Bitwarden, Enpass, LastPass y LogMeOnce. Todos resultaron ser vulnerables al método descrito. En varios casos el ataque afectaba no solo a las credenciales estándar, sino también a contraseñas de un solo uso temporales (TOTP) y a los mecanismos de autenticación por passkey. La situación es especialmente peligrosa porque muchos gestores rellenan automáticamente datos no solo para el dominio principal, sino también para todos sus subdominios. Esto facilita explotar otras vulnerabilidades del sitio, por ejemplo XSS, para robar información sin ser detectado.

Según el investigador, 10 de los 11 complementos probados rellenaban cuentas en subdominios, 9 permitían robar códigos TOTP y 8 posibilitaban usar el vector de ataque contra passkey. Así, las potenciales víctimas corren el riesgo de perder el acceso completo a sus cuentas con tan solo un clic en un elemento falso de un sitio malicioso.

Tras la divulgación responsable del problema, no todos los fabricantes publicaron correcciones. En este momento no han lanzado actualizaciones:

• 1Password (versión 8.11.4.27);

• Apple iCloud Passwords (3.1.25);

• Enpass (6.11.6);

• LastPass (4.146.3);

• LogMeOnce (7.12.4).

La compañía Socket, que verificó el estudio de forma independiente, informó que Enpass e iCloud Passwords están trabajando en corregir el error, mientras que 1Password y LastPass lo consideraron de carácter informativo. La organización también se dirigió a US-CERT para la asignación de identificadores CVE.

Como medida temporal, Marek Tóth recomienda desactivar el autocompletado en los gestores y, siempre que sea posible, copiar los datos manualmente. Para navegadores basados en Chromium, Tóth aconseja habilitar la opción «acceso por clic» para las extensiones, lo que permitirá controlar personalmente el momento en que se insertan las contraseñas. Pasados unos días desde la publicación del estudio, Bitwarden con la actualización advirtió además a los usuarios de la necesidad de comprobar cuidadosamente las direcciones de los sitios y de actuar con cautela para no ser víctimas de recursos de phishing.