Confiamos en nuestros administradores de contraseñas como si fueran fortalezas digitales. Pero, Según el experto Marek TóthSimplemente visite el sitio web incorrecto y haga clic donde no corresponde poner en riesgo esa armadura. La técnica presentada en Def con 33 no apunta a las aplicaciones, sino a extensiones que usamos diariamente En el navegador. En sus pruebas, se asegura de que este gesto pueda activar un sistema de robo de información sin que el usuario lo perciba.
La investigación, se hizo pública en una de las principales conferencias internacionales de seguridad informática, documenta cómo once extensiones de los administradores de contraseñas podrían ser manipuladas para filtrar datos. Toth afirma que notificó el hallazgo de los fabricantes en abril de 2025 y que a mediados de agosto, varios todavía tenían correcciones. El estudio incluye pruebas prácticas, sitios web diseñados para demostrar la falla y una estimación del alcance: aproximadamente 40 millones de instalaciones activas potencialmente expuestas.
Cómo funciona el ataque y por qué te afecta
La técnica descrita por Tóth se basa en ocultar los elementos que las extensiones insertan en la página para que el usuario interactúe con ellos sin verlo. Con cambios mínimos en la opacidad o la superposiciónEl atacante lo entiende El auto -fulfilling se activa en segundo plano. Y hay varias formas de lograrlo, desde manipular el elemento raíz de la extensión hasta alterar todo el cuerpo del sitio, además de las variantes por superposición.
El escenario más delicado aparece cuando un sitio web de trampa no es necesario, pero es suficiente para aprovechar una página legítima con una falla de seguridad. En esos casos, explica, el atacante puede capturar las credenciales de inicio de sesión. El riesgo aumenta porque muchos gerentes llenan datos no solo en el dominio original, sino también en los subdominios, lo que amplía la superficie de ataque sin que el usuario lo note.
Según los datos publicados por Tóth y recopilados por SocketEl 19 de agosto, 1Password, Bitwarden, Enpass, se continuaron como vulnerables Contraseñas de iCloudLastPass y Logmeonce. El 20 de agosto, Socket actualizó que BitWarden había enviado la versión 2025.8.0 con un parche, pendiente de distribución en extensiones. Entre los gerentes que aplicaron medidas correctivas se encuentran Nordpass, Dashlane, Keeper, Protonass y RoboForm. Por supuesto, esta lista puede variar en cualquier momento si otras compañías publican acuerdos después de la difusión.
La reacción del fabricante fue dispar. Socket señala que 1Password y LastPass clasificaron la decisión como «informativa», una categoría que generalmente implica ausencia de cambios inmediatos. BitWarden, Enpass y Apple (contraseñas de iCloud) confirmaron que Ellos trabajan en actualizacionesmientras que Logmeonce no respondió a los intentos de contacto. Algunas compañías admitieron la existencia de riesgo, pero relacionadas con vulnerabilidades externas en los sitios visitados.
Mientras que algunos desarrolladores deciden cómo actuar, Toth y Socket Team están de acuerdo en que existen medidas prácticas para reducir la exposición. Uno de los más efectivos es desactivar la auto -llena manual y recurrir a copiar y pegar. También se recomienda configurar el relleno automático solo para coincidencias de URL exactas, evitando que funcione en subdominios. En los navegadores basados en el cromo, el uso de la extensión puede limitarse con la opción de acceso «al hacer clic», de modo que el usuario autorice explícitamente cada uso.
No todo es tan inmediato como hacer clic y perder todo. Para que el ataque tenga éxito, la extensión debe desbloquearse, el navegador no se ha reiniciado e el usuario interactúa en el momento adecuado. Además, el análisis se centró solo en once extensiones. No hay evidencia de que Todas las soluciones El mercado es vulnerable, aunque el experto advierte que el patrón puede repetirse en otros tipos de extensiones.
El punto débil está en el SOLLa estructura interna utilizada por los sitios web para organizar botones, formas o menús. Los administradores de contraseñas insertan sus elementos allí, y si una página maliciosa se las arregla para moverlos, ocultarlos o forzarlos, el usuario puede terminar haciendo clic sin darse cuenta. Ese mismo riesgo se extiende a otras extensiones, como billeteras de criptomonedas o aplicaciones de notas.
Imágenes | con Géminis 2.5
En | Cómo cambiar todas nuestras contraseñas de acuerdo con tres expertos en ciberseguridad
