Recientemente, investigadores encontraron una falla de seguridad, denominada “clickjacking” basada en DOM, que afecta a las extensiones de gestores de contraseñas dentro del navegador. Esto permite que cualquier persona que tenga acceso a tu computadora comprometa tus credenciales, códigos 2FA y datos bancarios con solo hacer un clic en una página maliciosa.
Las aplicaciones probadas incluyen extensiones de gestores como 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass y LogMeOnce, todas con millones de usuarios activos y todas vulnerables.
¿Cómo funciona el ataque?
- Un atacante crea una página web maliciosa con un elemento visual legítimo (por ejemplo, un botón que dice “Aceptar cookies”).
- Oculta la ventana de autocompletar del gestor de contraseñas usando CSS (opacity a cero) o manipulación del DOM.
- Al hacer clic, el usuario interactúa sin saberlo con el campo oculto, y el gestor relleno automáticamente la información sensible, que es enviada al atacante.
- En casos más sofisticados, la interfaz de autocompletar sigue el cursor, provocando que cualquier interacción en la página active la filtración de datos.
¿Qué gestores están afectados?
- 1Password (≤8.11.4.27)
- Bitwarden (2025.7.0)
- Enpass (≤6.11.6)
- iCloud Passwords (3.1.25)
- LastPass (4.146.3)
- LogMeOnce (7.12.4)
Gestores con correcciones lanzadas
Estos gestores ya han lanzado parches para corregir la vulnerabilidad:
- Bitwarden (v2025.8.0)
- Dashlane
- NordPass
- ProtonPass
- RoboForm
- Keeper
Recomendaciones
- Desactiva el autocompletar automático: Hasta que tu gestor tenga un parche confiable, desactiva la función de autocompletar y usa la técnica de copiar y pegar.
- Configura el autocompletar en modo “on click”: En navegadores basados en Chromium (como Chrome o Edge), ve a la configuración de extensiones, entra en “acceso al sitio” y selecciona el modo “on click”. Esto evita que el gestor actúe sin tu consentimiento explícito.
- Actualiza tus gestores lo antes posible: Activa las actualizaciones automáticas y verifica regularmente que tu software esté al día.
- Evita sitios sospechosos: No hagas clic impulsivamente en ventanas emergentes, banners de cookies, captchas extraños o sitios no confiables. Si algo parece fuera de lo común, abandona la página.
