El acceso al gestor de contraseñas “Llavero” pone en riesgo la seguridad informática

Este Septiembre de 2017 otro fallo de seguridad informática encendió las alarmas. Se descubrió un fallo de seguridad desconocido que permite extraer las contraseñas dentro de Llavero, el gestor de contraseñas de los ordenadores Mac.

Ordenador MAC

Patrick Wardle, experto en seguridad informática y antiguo trabajador de la Agencia Nacional de Seguridad de Estados Unidos (NSA), investigó este fallo y descubrió que sólo requería que el usuario descargue e instale una aplicación no certificada en el sistema. Una vez que la aplicación entraba en el sistema, era capaz de acceder a cualquier contraseña almacenada en Llavero.

El funcionamiento de Llavero se basa en almacenar tras una única clave maestra todas las contraseñas que se emplean a diario por el usuario, compartiéndolas entre los distintos dispositivos de Apple.

Las contraseñas de las redes WiFi a las que el equipo se conecta o la información precisa para acceder a los servicios web (incluidas páginas web de bancos o proveedores de correo electrónico) son almacenadas por Llavero.

El fallo, que Wardle demostró en un vídeo, incide en todas las versiones recientes de MacOs, incluida High Sierra. Y no se dispone de un parche para solucionar el problema.

Cuando se conoció esta vulnerabilidad, Apple avisó a los usuarios de que descargasen sólo las aplicaciones que cuenten con certificados de seguridad válidos o que estén disponibles en la tienda de aplicaciones de la compañía, la Mac App Store.

Wardle intentó que la difusión de este fallo de seguridad le sirviera para pedir a Apple que implemente un mejor programa de recompensas para analistas de seguridad.

La organización tiene un programa que recompensa con donaciones de hasta 200.000 dólares a causas benéficas -una práctica habitual en el mundo de la seguridad informática- el descubrimiento de nuevas vulnerabilidades en dispositivos iPhone y iPad. El programa de recompensas, sin embargo, no cubre de momento los fallos descubiertos en MacOS.

Fuente: El Mundo