Lima, noviembre de 2025.- El uso de gestores de contraseñas se ha convertido en una práctica esencial para millones de usuarios que buscan proteger sus cuentas digitales. Con un promedio de 168 contraseñas por persona, según un estudio de 2024, esta cifra representa un aumento del 68% respecto a cuatro años atrás y evidencia la necesidad de herramientas que permitan gestionar claves largas, únicas y seguras. Sin embargo, estos servicios también se han convertido en objetivos de alto valor para los ciberdelincuentes. Ante ello, ESET, compañía líder en detección proactiva de amenazas, advierte sobre los principales riesgos asociados al uso de estas plataformas y comparte recomendaciones para reforzar la seguridad.
Mientras más credenciales se almacenan en un gestor, mayor es el interés de los atacantes por vulnerarlo. Con acceso a estas claves, los delincuentes podrían secuestrar cuentas, cometer fraude de identidad o comercializar accesos en la dark web. Por ello, la compañía resalta seis problemas de seguridad que requieren especial atención.
1. Compromiso de la contraseña maestra
La contraseña maestra es la puerta de acceso al almacén completo de credenciales. Si un ciberdelincuente logra obtenerla, el usuario queda totalmente expuesto. Este robo puede producirse mediante ataques de fuerza bruta, aprovechando vulnerabilidades en el software o a través de páginas de phishing diseñadas para engañar y capturar información sensible. Una vez comprometida, la protección del gestor pierde efectividad y el atacante puede acceder a todas las cuentas asociadas.
2. Anuncios maliciosos y páginas falsas
El uso de anuncios fraudulentos en buscadores se ha vuelto una estrategia frecuente. Los actores de amenazas publican avisos que imitan a gestores populares como 1Password o Bitwarden, redirigiendo a los usuarios a sitios falsos con URLs fácilmente confundibles. Allí se les solicita ingresar su correo, contraseña maestra y clave secreta. Aunque estas páginas simulan ser oficiales, están diseñadas exclusivamente para robar datos de acceso de alto valor.
3. Malware orientado al robo de credenciales
Algunas campañas avanzadas utilizan malware especializado para extraer datos desde navegadores o extensiones de gestores. Un ejemplo reciente detectado por ESET fue el malware InvisibleFerret, vinculado a un grupo norcoreano, capaz de filtrar información hacia Telegram o servidores FTP. Este código malicioso se distribuía disfrazado de archivos legítimos enviados durante falsas entrevistas laborales, y afectaba gestores como 1Password y Dashlane. Según ESET, este tipo de malware podría expandirse a través de correos, mensajes o redes sociales, incrementando el riesgo.
4. Brechas en proveedores de gestores de contraseñas
Aunque las empresas responsables invierten grandes recursos en seguridad, ninguna plataforma es totalmente invulnerable. En 2022, un incidente en LastPass permitió a ciberdelincuentes acceder a documentos internos, código fuente y datos sensibles de usuarios. Si bien la información estaba cifrada, los atacantes lograron obtener credenciales y derivar en un robo de criptomonedas valorizado en 150 millones de dólares. Estos casos reflejan que incluso los servicios más reconocidos pueden ser blanco de ataques sofisticados.
5. Aplicaciones falsas de gestión de contraseñas
El auge de estas herramientas ha impulsado la creación de aplicaciones fraudulentas diseñadas para robar contraseñas o instalar malware. Incluso en tiendas oficiales como la App Store se han detectado apps maliciosas que imitaban funciones de gestores populares. Su objetivo suele ser capturar la contraseña maestra o instalar software capaz de recopilar datos del dispositivo sin que el usuario lo note.
6. Explotación de vulnerabilidades
Al ser software, los gestores de contraseñas pueden contener errores o fallas de seguridad que, si no se corrigen a tiempo, pueden ser explotadas por atacantes. Esto incluye vulnerabilidades en complementos para navegadores web, que podrían permitir el robo de credenciales o incluso de códigos de autenticación de dos factores (2FA). Mientras más dispositivos tengan instalada la aplicación, mayor es la superficie de ataque.
Cómo protegerse ante estos riesgos
Para reducir las probabilidades de sufrir un ataque, ESET recomienda implementar medidas básicas pero efectivas:
• Crear una contraseña maestra larga, única y difícil de adivinar, idealmente una frase con varias palabras.
• Activar siempre la autenticación en dos pasos (2FA) en todas las cuentas que lo permitan.
• Mantener actualizados navegadores, gestores y sistemas operativos para reducir la exposición a vulnerabilidades.
• Descargar aplicaciones solo desde tiendas oficiales y verificar desarrolladores y calificaciones.
• Elegir un gestor confiable, comparando opciones y características de seguridad.
• Instalar soluciones de seguridad en todos los dispositivos para detectar malware y amenazas dirigidas al robo de credenciales.
Según Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, estas prácticas son cruciales para aprovechar los beneficios de los gestores sin comprometer la protección personal: “Los gestores de contraseñas siguen siendo una parte clave de las mejores prácticas de ciberseguridad. Pero solo si se toman precauciones adicionales. Los riesgos evolucionan constantemente; mantenerse informado es esencial para que las credenciales permanezcan bajo llave”.