CIBERTIPS Y NOTICIAS DE CIBERSEGURIDAD

Información para todos

Vulnerabilidades críticas en Kaspersky Password Manager

Investigadores de ciberseguridad reportan que la función para generar contraseñas en la popular herramienta Kaspersky Password Manager se veía afectada por múltiples vulnerabilidades debido a las deficientes prácticas criptográficas de la compañía. El conjunto de fallas fue identificado como CVE-2020-27020 y fue descubierto desde 2019, aunque el problema fue abordado hasta octubre de 2020.

Kaspersky Password Manager es una herramienta diseñada para almacenar de forma segura contraseñas y documentos en una bóveda cifrada. Al parecer, los problemas existen debido a que esta tecnología utilizaba un método demasiado inusual para la generación de palabras clave.

Aunque el fabricante pidió a los usuarios actualizar a Kaspersky Password Manager 9.0.2 Patch M y volver a generar contraseñas para sus plataformas, estas fallas no fueron completamente corregidas sino hasta abril de 2021, cuando se abordaron los problemas en la versión móvil.

Es julio de 2021 y Kaspersky considera que se ha dado el tiempo suficiente para que los usuarios activos de Password Manager actualizaran a la versión segura, por lo que se ha permitido la publicación de una descripción detallada de un potencial ataque. Acorde al investigador Jean-Baptiste Bédrune, la debilidad existía porque la herramienta usa la hora actual del sistema como su única fuente de entropía, lo que derivaba en la generación de contraseñas relativamente débiles.

Como resultado, a cada usuario que intentó generar una contraseña al mismo tiempo se le ofreció la misma contraseña sugerida. Esto también significa que cualquier contraseña generada con la tecnología quedaba vulnerable a un ataque de fuerza bruta basado en un diccionario de posibles contraseñas.

Al respecto, Kaspersky reconoció que el problema existía tal como lo describió el experto, aunque la compañía asegura que la falla no es tan grave como parecería: “Hemos solucionado un problema de seguridad en Kaspersky Password Manager, que habría permitido a los actores de amenazas encontrar las contraseñas generadas por esta herramienta. La explotación solo es posible en caso de que el atacante conozca detalles confidenciales del usuario objetivo y la hora exacta en que se genera una contraseña, algo realmente improbable”, señala Kaspersky.

No obstante, Bédrun cree que la falla no debe ser subestimada: “Lo que Kaspersky quiere decir es que, si un atacante intenta adivinar la contraseña de una víctima usando Kaspersky Password Manager en su primer intento, tendrá que saber el momento en que se creó la contraseña, omitiendo el detalle de que este ataque podría ser completado con métodos poco sofisticados, como ataques de fuerza bruta.

 

Créditos: Alisa Esage

Cursos Online

-Compartir en redes-

Plataforma de capacitación

 

 

Nosotros

Somos una organización 100% MEXICANA cuyo objetivo es asesorar a las organizaciones en las mejores
prácticas de seguridad de la información.

Cómo denunciar acoso

 

 

Nuestro canal en Telegram

Inscripción a boletín de noticias