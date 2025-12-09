Los gestores de contraseñas se han consolidado como una de las herramientas más útiles para la vida digital diaria. No obstante, también se han convertido en un objetivo prioritario para los ciberdelincuentes, que explotan campañas de ‘phishing’, ‘malware’ o fallos de configuración para comprometerlos y dejar al descubierto las claves almacenadas.

La creciente complejidad del entorno digital obliga a crear cuentas para prácticamente cualquier servicio en línea, lo que incrementa la carga de credenciales que cada persona debe recordar. Según un estudio de NordPass publicado en 2024, el usuario promedio gestiona hoy un 68 % más de contraseñas que hace cuatro años, con una media de 168 claves por persona.

Este escenario provoca olvidos, reinicios constantes de contraseñas y, sobre todo, riesgos de seguridad, ya que muchas de esas claves suelen ser débiles o repetidas. En este contexto, los gestores de contraseñas se presentan como una solución eficaz: permiten generar, almacenar y organizar contraseñas únicas, extensas y robustas para cada servicio.

Los atacantes pueden usar las credenciales robadas para cometer fraudes, acceder a servicios o vender el conjunto de claves. | Foto: Getty Images

Se disparan los ataques a gestores de contraseñas

Precisamente por su importancia, estas herramientas se han convertido en un atractivo botín para los atacantes. Los ciberdelincuentes buscan acceder a los gestores mediante robos de la contraseña maestra, explotación de fallos o ataques de ‘malware’. Una vez dentro, pueden cometer fraudes de identidad, acceder a servicios valiosos o incluso vender el paquete completo de credenciales a terceros.

Ante este panorama, ESET ha identificado seis riesgos críticos que los usuarios deben tener en cuenta al utilizar un gestor de contraseñas.

Seis riesgos de seguridad principales

1. Robo de la contraseña maestra: Es el mayor peligro, ya que esta clave es la puerta de acceso a todas las demás. Ataques de fuerza bruta, vulnerabilidades del software o páginas fraudulentas pueden comprometerla y dar al atacante acceso directo al gestor.

2. ‘Phishing’ y anuncios maliciosos: Los ciberdelincuentes difunden anuncios en buscadores que dirigen a páginas falsas idénticas a las originales, diseñadas para capturar la contraseña maestra y el correo del usuario. Algunas imitaciones son tan precisas que logran engañar incluso a personas con experiencia.

3. ‘Malware’ especializado en robar contraseñas: Los atacantes recurren cada vez más a software malicioso capaz de extraer datos directamente del navegador o del gestor. Un caso reciente es la operación norcoreana ‘DeceptiveDevelopment’, en la que se utilizó el ‘malware’ InvisibleFerret para exfiltrar información de herramientas como 1Password o Dashlane a través de Telegram o FTP.

4. Brechas en proveedores: Ni siquiera las empresas más especializadas están exentas de incidentes. LastPass sufrió dos brechas en 2022 que derivaron en el robo de código fuente, documentación interna y copias cifradas de clientes. Estos ataques se relacionaron posteriormente con robos millonarios en criptomonedas.

5. Vulnerabilidades de software: Como cualquier aplicación, un gestor puede contener fallos que permitan extraer credenciales o códigos de autenticación en dos pasos. Además, cuantos más dispositivos tenga sincronizados el usuario, mayor es la superficie de ataque.

6. Aplicaciones falsas: En tiendas oficiales como la App Store también se han detectado imitaciones de gestores legítimos. Estas apps buscan robar la contraseña maestra o instalar ‘malware’ en los dispositivos.

Algunas contraseñas pueden ser hackeadas por delincuentes en segundos. | Foto: Getty Images

Cómo proteger el gestor de contraseñas

Para minimizar riesgos, la compañía recomienda crear una contraseña maestra única, larga y segura —por ejemplo, compuesta por varias palabras unidas—, y activar siempre la autenticación multifactor (2FA). Esto puede bloquear accesos indebidos incluso si un atacante obtiene la contraseña.

También es fundamental mantener navegadores, sistemas operativos y gestores actualizados, descargar aplicaciones exclusivamente desde tiendas oficiales y verificar siempre el desarrollador. A ello se suma la importancia de apostar por proveedores consolidados y contar con soluciones de seguridad instaladas en todos los dispositivos para detectar ‘malware’.

Como advierte Josep Albors, director de investigación y concienciación de ESET España, “los gestores de contraseñas siguen siendo una de las mejores herramientas para proteger nuestras cuentas, pero debemos dejar de pensar en ellos como algo infalible”. Por ello, subraya, “ya no basta con usarlos: también hay que protegerlos”.