Así roban contraseñas guardadas en Google Chrome
Expertos en ciberseguridad recomiendan a los usuarios no utilizar esta opción en cuentas importantes para evitar ser víctimas de un fraude o robo de identidad
Al ingresar a un sitio nuevo, Google Chrome pregunta al usuario si desea que guarde la contraseña para que en futuras ocasiones se ahorre el trabajo de ingresar los datos, sin embargo, no es completamente segura esta acción.
Un análisis de la empresa de ciberseguridad, ESET, se informa si almacenar las credenciales de acceso es seguro y cuáles son los riegos de esta opción para que de ese modo los usuarios sepan a lo que pueden enfrentarse.
Cómo son y cuáles son los ataques
La empresa señaló que el mayor riesgo que presenta es que si un atacante tuviese acceso a la computadora podría obtener fácilmente las contraseñas, descifrarlas y robarlas. Este tipo de acción ha sido observada varias veces a través de troyanos bancarios cuya misión es robar credenciales de acceso a sitios de banca en línea para posteriormente cometer fraude.
Aseguran que la dinámica para obtener las contraseñas es sencilla:
“Comenzamos intentando iniciar sesión en Facebook con un usuario y contraseña ficticios. Cuando el navegador nos indique, hacemos clic en la opción para que Google Chrome guarde nuestras credenciales”.
Una vez que el nombre el usuario y contraseña son almacenados en la base de datos de Google Chrome, se puede buscar el archivo donde se guarda la información (estos datos se almacenarán en una base de datos SQLite3 ubicada generalmente en la dirección: %LocalAppData%\Google\Chrome\User Data\Default\Login Data).
Posteriormente se abre el archivo con algún programa que permita visualizar bases de datos (en el ejemplo: DB Browser for SQL Lite).
Al ser abierto con DB Browser se puede dirigir a la opción “logins” para encontrar las entradas con los datos de inicio de sesión, que incluyen: URL, usuario y contraseña. La contraseña almacenada está cifrada, sin embargo, al hacer clic en ese campo, el programa muestra su representación hexadecimal.
En ese punto, el atacante ya cuenta con el usuario, el sitio web y la contraseña cifrada, por lo que únicamente resta realizar el paso final: descifrarla.
“Para ello se aprovecha del hecho de contar con acceso (físico o virtual) al equipo en cuestión, ya que es altamente probable que el usuario activo sea el mismo que guardó previamente la contraseña, permitiéndole al atacante descifrarla fácilmente utilizando la función: CryptUnprotectData.”
Cabe destacar que por motivos básicos de seguridad las contraseñas no son almacenadas en texto plano; es decir, sin cifrar. Por el contrario, en los sistemas Windows, Google Chrome utiliza una función de cifrado provista por el sistema operativo: CryptProtectData (Crypt32.dll).
De acuerdo con ESET, todos estos pasos pueden ser realizados por un malware de forma rápida y automática. Sin embargo, el malware no es el único riesgo que se debe tener en cuenta, ya que existen múltiples programas de fácil acceso a través de una búsqueda online que son capaces de realizar estos mismos pasos. Esto permite que personas con nulos conocimientos técnicos, pero con acceso físico a la computadora desbloqueada, puedan robar las credenciales del mismo modo que lo haría un malware.
“Es importante remarcar que todos los riesgos mencionados se limitan únicamente a este mecanismo, es decir, al riesgo de que las contraseñas allí almacenadas sean robadas. Por lo tanto, se recomienda no utilizar esta funcionalidad y, en caso de hacerlo, no utilizarla para guardar contraseñas de servicios importantes, como podría ser la banca en línea, redes sociales, portales médicos, o aquellos que contengan información personal”.
