Un investigador descubrió que casi una docena de gestores de contraseñas eran vulnerables a ataques de clickjacking que podrían permitir el robo de datos altamente sensibles.

La investigación fue realizada por Marek Tóth, quien presentó sus hallazgos en la conferencia DEF CON a inicios de este mes y posteriormente los detalló en un blog técnico.

Los gestores de contraseñas analizados fueron: 1Password, Bitwarden, Dashlane, Enpass, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass, RoboForm y Apple iCloud Passwords, enfocándose específicamente en sus extensiones de navegador.

Estas extensiones son ampliamente utilizadas. De acuerdo con el análisis, suman en conjunto casi 40 millones de instalaciones activas en Chrome, Edge y Firefox.

¿Qué es el clickjacking?

El clickjacking es una técnica en la que un atacante engaña al usuario para que haga clic en elementos ocultos de una página web. Mediante botones o capas transparentes superpuestas sobre contenido legítimo, la víctima cree interactuar con un elemento inofensivo, pero en realidad ejecuta acciones maliciosas sin darse cuenta.

Tóth demostró que esta técnica puede aprovecharse para robar información sensible almacenada en los gestores de contraseñas, incluyendo:

• Datos personales
• Usuarios y contraseñas
• Passkeys
• Información de tarjetas de pago

En muchos casos, el ataque requería solo un clic de la víctima sobre un elemento aparentemente inofensivo.

El rol del DOM en el ataque

El DOM (Document Object Model) es la estructura en forma de árbol que crea el navegador al cargar una página web. Este modelo permite que lenguajes como JavaScript modifiquen elementos de la página dinámicamente.

El ataque presentado por Tóth se basa en scripts maliciosos que manipulan los elementos inyectados por las extensiones de navegador en el DOM, haciéndolos invisibles y explotando la función de autocompletado de los gestores de contraseñas.

Respuestas de los proveedores

Algunos fabricantes ya corrigieron las vulnerabilidades, pero aún Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass y LogMeOnce no han liberado actualizaciones completas.

• Bitwarden informó que su actualización con la corrección será lanzada en la versión 2025.8.0.
• LogMeOnce reconoció el hallazgo y señaló que su equipo trabaja activamente en una actualización de seguridad.
• 1Password explicó que, al ser un problema relacionado con la forma en que los navegadores renderizan páginas web, no existe una solución técnica definitiva a nivel de extensión. Su estrategia es dar más control al usuario, exigiendo confirmación antes de autocompletar datos sensibles como información de pago, con planes de extender esta protección a otros campos.
• LastPass destacó que este reto refleja la necesidad de equilibrar la experiencia de usuario con la seguridad ante nuevas amenazas. Actualmente, LastPass muestra notificaciones emergentes antes de autocompletar información crítica, y está explorando nuevas medidas de protección.

Recomendaciones para usuarios

Mientras los proveedores liberan actualizaciones, los expertos recomiendan a los usuarios de gestores de contraseñas:

• Mantener sus extensiones actualizadas.
• Estar alerta ante overlays sospechosos o ventanas emergentes.
• Activar notificaciones o confirmaciones antes de que se autocompleten datos sensibles.

Fuente: https://www.securityweek.com/password-managers-vulnerable-to-data-theft-via-clickjacking