{"id":87655,"date":"2025-08-22T21:17:58","date_gmt":"2025-08-22T21:17:58","guid":{"rendered":"https:\/\/enfoquenoticioso.com\/?p=87655"},"modified":"2025-08-22T21:17:58","modified_gmt":"2025-08-22T21:17:58","slug":"un-solo-clic-y-adios-a-nuestras-contrasenas-asi-es-la-vulnerabilidad-que-afecta-las-extensiones-de-varios-gestores","status":"publish","type":"post","link":"https:\/\/enfoquenoticioso.com\/?p=87655","title":{"rendered":"Un solo clic y adi\u00f3s a nuestras contrase\u00f1as. As\u00ed es la vulnerabilidad que afecta las extensiones de varios gestores"},"content":{"rendered":"<div>\n<p>Confiamos en nuestros <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/basics\/16-mejores-gestores-contrasenas-para-proteger-recordar-todas-que-tengas\" data-vars-post-title=\"Gestores de contrase\u00f1as: cu\u00e1les son los mejores para proteger y recordar todas las que tengas\" data-vars-post-url=\"https:\/\/www.xataka.com\/basics\/16-mejores-gestores-contrasenas-para-proteger-recordar-todas-que-tengas\" target=\"_blank\" rel=\"noopener\">gestores de contrase\u00f1as<\/a> como si fueran cajas fuertes digitales. Pero, <a rel=\"noopener, noreferrer\" href=\"https:\/\/marektoth.com\/blog\/dom-based-extension-clickjacking\/\" target=\"_blank\">seg\u00fan el experto Marek T\u00f3th<\/a>, basta con visitar la web equivocada y hacer clic donde no corresponde para poner en riesgo ese blindaje. La t\u00e9cnica que present\u00f3 en <a rel=\"noopener, noreferrer\" href=\"https:\/\/defcon.org\/html\/defcon-33\/dc-33-index.html\" target=\"_blank\">DEF CON 33<\/a> no apunta a las aplicaciones, sino a las <strong>extensiones que usamos a diario<\/strong> en el navegador. En sus pruebas, asegura que ese gesto puede activar un sistema de robo de informaci\u00f3n sin que el usuario lo perciba.<\/p>\n<p><!-- BREAK 1 --> <\/p>\n<p>La investigaci\u00f3n, hecha p\u00fablica en una de las principales conferencias internacionales de seguridad inform\u00e1tica, documenta c\u00f3mo once extensiones de gestores de contrase\u00f1as pod\u00edan ser manipuladas para filtrar datos. T\u00f3th afirma que notific\u00f3 el hallazgo a los fabricantes en abril de 2025 y que a mediados de agosto varias segu\u00edan sin correcciones. El estudio incluye pruebas pr\u00e1cticas, sitios web dise\u00f1ados para demostrar el fallo y una estimaci\u00f3n del alcance: alrededor de 40 millones de instalaciones activas potencialmente expuestas.<\/p>\n<p><!-- BREAK 2 --><\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_81 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Tabla de Contenido<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/enfoquenoticioso.com\/?p=87655\/#Como_funciona_el_ataque_y_por_que_te_afecta\" >C\u00f3mo funciona el ataque y por qu\u00e9 te afecta<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Como_funciona_el_ataque_y_por_que_te_afecta\"><\/span>C\u00f3mo funciona el ataque y por qu\u00e9 te afecta<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>La t\u00e9cnica descrita por T\u00f3th se basa en ocultar los elementos que las extensiones insertan en la p\u00e1gina para que el usuario interact\u00fae con ellos sin verlo. <a rel=\"noopener, noreferrer\" href=\"https:\/\/marektoth.com\/blog\/dom-based-extension-clickjacking\/#:~:text=Attacker%20creates%20a%20malicious%20page%20with%20an%20invisible%20iframe%20containing%20the%20target%20website%20%28opacity%3A0%29.\" target=\"_blank\">Con cambios m\u00ednimos de opacidad o superposici\u00f3n<\/a>, el atacante consigue que <strong>el autocompletado se active en segundo plano<\/strong>. Y hay varias formas de lograrlo, desde manipular el elemento ra\u00edz de la extensi\u00f3n hasta alterar el cuerpo entero del sitio, adem\u00e1s de variantes por superposici\u00f3n.<\/p>\n<p><!-- BREAK 3 -->  <\/p>\n<p>El escenario m\u00e1s delicado aparece cuando no es necesaria una web trampa, sino que basta con aprovechar una p\u00e1gina leg\u00edtima con un fallo de seguridad. En esos casos, explica, el atacante puede capturar credenciales de inicio de sesi\u00f3n. El riesgo aumenta porque muchos gestores rellenan datos no solo en el dominio original, sino tambi\u00e9n en subdominios, lo que ampl\u00eda la superficie de ataque sin que el usuario lo note.<\/p>\n<p><!-- BREAK 4 --><\/p>\n<p><a rel=\"noopener, noreferrer\" href=\"https:\/\/socket.dev\/blog\/password-manager-clickjacking\" target=\"_blank\">Seg\u00fan los datos publicados por T\u00f3th y recogidos por Socket<\/a>, a 19 de agosto segu\u00edan figurando como vulnerables 1Password, Bitwarden, Enpass, <a class=\"text-outboundlink\" href=\"https:\/\/www.applesfera.com\/nuevo\/app-contrasenas-apple-que-sirve-seguridad\" data-vars-post-title=\"Contrase\u00f1as de Apple: qu\u00e9 es, para qu\u00e9 sirve y c\u00f3mo de segura es la nueva app de iPhone, iPad y Mac\" data-vars-post-url=\"https:\/\/www.applesfera.com\/nuevo\/app-contrasenas-apple-que-sirve-seguridad\" target=\"_blank\" rel=\"noopener\">iCloud Passwords<\/a>, LastPass y LogMeOnce. El 20 de agosto, Socket actualiz\u00f3 que Bitwarden hab\u00eda enviado la versi\u00f3n 2025.8.0 con un parche, pendiente de distribuci\u00f3n en las tiendas de extensiones. Entre los gestores que s\u00ed aplicaron medidas correctoras figuran NordPass, Dashlane, Keeper, ProtonPass y RoboForm. Eso s\u00ed, este listado puede variar en cualquier momento si otras compa\u00f1\u00edas publican arreglos tras la divulgaci\u00f3n.<\/p>\n<p><!-- BREAK 5 --><\/p>\n<div class=\"article-asset-image article-asset-normal article-asset-center\">\n<div class=\"asset-content\">\n<div class=\"caption-img \">\n                   <img class=\"centro_sinmarco\" height=\"1642\" width=\"2674\" loading=\"lazy\" decoding=\"async\" sizes=\"auto, 100vw\" fetchpriority=\"high\" srcset=\"https:\/\/i.blogs.es\/930948\/extensiones-ejemplo\/450_1000.png 450w, https:\/\/i.blogs.es\/930948\/extensiones-ejemplo\/650_1200.png 681w,https:\/\/i.blogs.es\/930948\/extensiones-ejemplo\/1024_2000.png 1024w, https:\/\/i.blogs.es\/930948\/extensiones-ejemplo\/1366_2000.png 1366w\" src=\"https:\/\/i.blogs.es\/930948\/extensiones-ejemplo\/450_1000.png\" alt=\"Extensiones Ejemplo\"\/><br \/>\n   <img decoding=\"async\" alt=\"Extensiones Ejemplo\" class=\"centro_sinmarco\" src=\"https:\/\/i.blogs.es\/930948\/extensiones-ejemplo\/450_1000.png\"\/><\/p>\n<p>        <span>Ejemplo de extensi\u00f3n de gestor de contrase\u00f1as para el navegador<\/span>\n   <\/div>\n<\/p><\/div>\n<\/div>\n<p>La reacci\u00f3n de los fabricantes fue dispar. Socket se\u00f1ala que 1Password y LastPass clasificaron el fallo como \u201cinformativo\u201d, una categor\u00eda que suele implicar ausencia de cambios inmediatos. Bitwarden, Enpass y Apple (iCloud Passwords) confirmaron que <strong>trabajan en actualizaciones<\/strong>, mientras que LogMeOnce no respondi\u00f3 a los intentos de contacto. Algunas compa\u00f1\u00edas admitieron la existencia del riesgo, pero lo relacionaron con vulnerabilidades externas en los sitios visitados.<\/p>\n<p><!-- BREAK 6 --> <\/p>\n<p>Mientras algunos desarrolladores deciden c\u00f3mo actuar, T\u00f3th y el equipo de Socket coinciden en que hay medidas pr\u00e1cticas para reducir la exposici\u00f3n. Una de las m\u00e1s eficaces es desactivar el autocompletado manual y recurrir al copiar y pegar. Tambi\u00e9n se recomienda configurar el relleno autom\u00e1tico solo para coincidencias exactas de URL, evitando que funcione en subdominios. En navegadores basados en Chromium, puede limitarse el uso de la extensi\u00f3n con la opci\u00f3n de acceso \u201cal hacer clic\u201d, de modo que el usuario autorice expl\u00edcitamente cada uso.<\/p>\n<p><!-- BREAK 7 --><\/p>\n<div class=\"article-asset-image article-asset-normal article-asset-center\">\n<div class=\"asset-content\">\n<div class=\"caption-img \">\n                   <img class=\"centro_sinmarco\" height=\"1056\" width=\"2000\" loading=\"lazy\" decoding=\"async\" sizes=\"auto, 100vw\" fetchpriority=\"high\" srcset=\"https:\/\/i.blogs.es\/36bb7f\/prueba-investigador\/450_1000.png 450w, https:\/\/i.blogs.es\/36bb7f\/prueba-investigador\/650_1200.png 681w,https:\/\/i.blogs.es\/36bb7f\/prueba-investigador\/1024_2000.png 1024w, https:\/\/i.blogs.es\/36bb7f\/prueba-investigador\/1366_2000.png 1366w\" src=\"https:\/\/i.blogs.es\/36bb7f\/prueba-investigador\/450_1000.png\" alt=\"Prueba Investigador\"\/><br \/>\n   <img decoding=\"async\" alt=\"Prueba Investigador\" class=\"centro_sinmarco\" src=\"https:\/\/i.blogs.es\/36bb7f\/prueba-investigador\/450_1000.png\"\/><\/p>\n<p>        <span>El investigador muestra c\u00f3mo es posible superponer elementos invisibles en la p\u00e1gina para enga\u00f1ar al usuario y hacerle pulsar en el gestor de contrase\u00f1as sin darse cuenta<\/span>\n   <\/div>\n<\/p><\/div>\n<\/div>\n<p>No todo es tan inmediato como hacer clic y perderlo todo. Para que el ataque tenga \u00e9xito, la extensi\u00f3n debe estar desbloqueada, el navegador no haberse reiniciado y el usuario interactuar en el momento preciso. Adem\u00e1s, el an\u00e1lisis se centr\u00f3 \u00fanicamente en once extensiones. No hay pruebas de que <strong>todas las soluciones<\/strong> del mercado sean vulnerables, aunque el experto advierte que el patr\u00f3n puede repetirse en otros tipos de extensiones.<\/p>\n<p><!-- BREAK 8 --><\/p>\n<div class=\"article-asset article-asset-normal article-asset-center\">\n<div class=\"desvio-container\">\n<div class=\"desvio\">\n<div class=\"desvio-figure js-desvio-figure\">\n    <a href=\"https:\/\/www.xataka.com\/seguridad\/soy-bastante-avanzado-tecnologia-cai-esto-resumenes-ia-google-empiezan-a-incluir-estafas\" class=\"pivot-outboundlink\" data-vars-post-title=\"As\u00ed es la nueva estafa con n\u00fameros de tel\u00e9fono falsos que ya tiene v\u00edctimas: los resultados de IA de Google son los &#039;culpables&#039; \" target=\"_blank\" rel=\"noopener\"><br \/>\n     <img loading=\"lazy\" decoding=\"async\" alt=\"As\u00ed es la nueva estafa con n\u00fameros de tel\u00e9fono falsos que ya tiene v\u00edctimas: los resultados de IA de Google son los 'culpables' \" width=\"375\" height=\"142\" src=\"https:\/\/i.blogs.es\/94d136\/estafa-google\/375_142.jpeg\"\/><br \/>\n    <\/a>\n   <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n<p>El punto d\u00e9bil est\u00e1 en el <a rel=\"noopener, noreferrer\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/API\/Document_Object_Model\" target=\"_blank\">DOM<\/a>, la estructura interna que usan las webs para organizar botones, formularios o men\u00fas. Los gestores de contrase\u00f1as insertan ah\u00ed sus elementos, y si una p\u00e1gina maliciosa consigue moverlos, ocultarlos o forzarlos, el usuario puede terminar haciendo clic sin darse cuenta. Ese mismo riesgo se extiende a otras extensiones como carteras de criptomonedas o aplicaciones de notas.<\/p>\n<p><!-- BREAK 9 --><\/p>\n<p>Im\u00e1genes | Xataka con Gemini 2.5<\/p>\n<p>En Xataka | <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/seguridad\/cada-cuanto-debemos-cambiar-todas-nuestras-contrasenas-tres-expertos-ciberseguridad\" data-vars-post-title=\"Cada cu\u00e1nto debemos cambiar TODAS nuestras contrase\u00f1as seg\u00fan tres expertos en ciberseguridad\" data-vars-post-url=\"https:\/\/www.xataka.com\/seguridad\/cada-cuanto-debemos-cambiar-todas-nuestras-contrasenas-tres-expertos-ciberseguridad\" target=\"_blank\" rel=\"noopener\">Cada cu\u00e1nto debemos cambiar TODAS nuestras contrase\u00f1as seg\u00fan tres expertos en ciberseguridad<\/a><\/p>\n<\/p><\/div>\n<p><a href=\"https:\/\/www.xataka.com\/seguridad\/confiamos-gestores-contrasenas-para-estar-seguros-sus-extensiones-navegador-acaban-mostrar-grietas-preocupantes\" class=\" target=\" title=\"Un solo clic y adi\u00f3s a nuestras contrase\u00f1as. As\u00ed es la vulnerabilidad que afecta las extensiones de varios gestores\" target=\"_blank\" rel=\"noopener\">Ver fuente<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Confiamos en nuestros gestores de contrase\u00f1as como si fueran cajas fuertes digitales. Pero, seg\u00fan el experto Marek T\u00f3th, basta con visitar la web equivocada y hacer clic donde no corresponde para poner en riesgo ese blindaje. La t\u00e9cnica que present\u00f3 en DEF CON 33 no apunta a las aplicaciones, sino a las extensiones que usamos [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":87656,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-87655","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/87655","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=87655"}],"version-history":[{"count":0,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/87655\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/media\/87656"}],"wp:attachment":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=87655"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=87655"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=87655"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}