Google Chrome suele desplegar una ventana emergente que pregunta si el usuario desea guardar su contraseña al iniciar sesión en un sitio web como Facebook o Twitter. En UnoTV.com te explicamos cómo funciona el mecanismo utilizado para almacenar y proteger los passwords, señalando si es seguro darle clic a “Guardar“.
¿Es seguro guardar tus contraseñas en Google Chrome?
El mecanismo de almacenamiento utilizado por Google Chrome representa un riesgo de seguridad sólo si el equipo se encuentra previamente comprometido o expuesto, aunque el uso de una base de datos, llamada SQLite3, añade una posibilidad de ataque adicional que podría ser explotado por cibercriminales, según ESET, compañía de ciberseguridad.
Todos los riesgos conocidos hasta el momento se limitan únicamente a este mecanismo, pues las contraseñas almacenadas podrían ser robadas. Por lo tanto, se recomienda no utilizar dicha base de datos y, en caso de hacerlo, no utilizarla para guardar contraseñas de servicios importantes que contengan información personal, entre ellas:
- Banca en línea
- Redes sociales
- Portales médicos
¿Qué pasa cuando permites “almacenar” tus passwords?
Al hacer clic en el botón “aceptar” cuando Google Chrome pregunta “¿Quieres guardar la contraseña?“, el usuario permite que se guarde el nombre de usuario y la contraseña ingresados en el formulario de inicio de sesión de un sitio web. Específicamente, estos datos se pueden almacenar en una base de datos SQLite3 ubicada en la siguiente dirección:
- %LocalAppData%\Google\Chrome\User Data\Default\Login Data.
Las tablas en esta base de datos tienen varios campos, y la tabla “logins” contiene la información más sensible, incluyendo los campos “valor de usuario” y “valor de contraseña”. Estos campos por sí solos son inútiles, pues Google Chrome necesita saber a qué sitio web corresponden las credenciales, es donde entra el campo “origin_url”.
Los demás campos contribuyen al correcto funcionamiento del mecanismo en menor medida. Por razones básicas de seguridad, las contraseñas no se almacenan en texto plano. En su lugar, el navegador utiliza una función de cifrado proporcionada por el sistema operativo, CryptProtectData (Crypt32.dll), en sistemas Windows, según precisa ESET.
¿Existe un peligro real con este mecanismo en Google Chrome?
La función de “Guardar contraseña” en Google Chrome está diseñada para que los datos cifrados solo puedan ser descifrados por el mismo usuario que estaba conectado cuando se cifró la contraseña. Además, se puede configurar para descifrar datos solo en la misma computadora en la que se cifró.
El gigante tecnológico no utiliza una clave definida por el usuario sino que utiliza las credenciales de acceso del usuario al propio sistema operativo. Por lo tanto, un ciberdelincuente no tendría otra opción que descifrarlas iniciando sesión en la computadora y utilizando el mismo usuario que las creó, y luego transferirlas.
El principal riesgo de utilizar este mecanismo para almacenar contraseñas es que si un atacante tiene acceso a la computadora, podría obtener fácilmente y descifrarlas en texto plano.
- Este tipo de comportamiento se ha observado en múltiples códigos maliciosos e incluso en troyanos bancarios específicamente dirigidos a América Latina, donde el objetivo es robar credenciales de acceso a sitios de banca en línea.
¿Cómo funcionan los ataques con tus contraseñas?
En estos ataques, el ciberdeluncuente puede obtener la estructura de las tablas, así como su contenido. Por ejemplo, podrían intentar iniciar sesión en Facebook con credenciales de usuario falsas y luego hacer clic en la opción para que Google Chrome guarde las credenciales.
Una vez que el nombre de usuario y contraseña se hayan almacenado en la base de datos del navegador, pueden buscar el archivo que almacena esta información y abrirlo con un programa que les permita ver bases de datos, como DB Browser para SQL Lite.
Desde allí, pueden encontrar las entradas en la tabla “logins” que contienen los datos de inicio de sesión, incluyendo:
- URL
- Nombre de usuario
- Contraseña cifrada.
La contraseña almacenada está cifrada en una estructura BLOB (objetos binarios de gran tamaño, como las imágenes o los archivos de audio), y cuando hacen clic en ese campo, el programa muestra su representación hexadecimal.
En este punto, el atacante tiene el usuario, el sitio web y la contraseña cifrada, y solo necesita realizar el paso final: descifrarlo. Pueden aprovechar el acceso al equipo en cuestión, ya que es muy probable que el usuario activo sea el mismo que guardó previamente la contraseña, lo que permite al atacante descifrarla fácilmente mediante la función CryptUnprotectData, con una función opuesta a DB Browser.
Cualquier persona con acceso físico o remoto a la computadora también puede realizar estas acciones, por lo que es importante usar una contraseña fuerte y única para cada cuenta, habilitar la autenticación de dos pasos, tener cuidado al permitir que Google Chrome guarde las contraseñas y asegurarse de que la seguridad de su computadora esté actualizada, según dice ESET.