¿ Usas Kaspersky Password Manager? Deberías actualizar tus contraseñas

Cada vez hay más ataques informáticos con el objetivo de hacerse con nuestras credenciales. Una de las técnicas más habituales es usar programas de fuerza bruta que van probando diferentes contraseñas hasta dar con la tecla. Y por este motivo existen programas como Kaspersky Password Manager, que generan contraseñas imposibles de descifrar. O eso es lo que pensábamos.

Y es que, el jefe de investigación de seguridad de Ledger Donjon, Jean-Baptiste Bédrune, ha descubierto que Kaspersky Password Manager ha estado utilizando mucho tiempo un sistema para generar contraseñas que podría jugar en su contra. Tal y como indica el experto en seguridad “Kaspersky Password Manager utilizaba un método complejo para generar sus contraseñas. Este método pretendía crear contraseñas difíciles de descifrar para los descifradores de contraseñas estándar. Sin embargo, este método disminuye la fuerza de las contraseñas generadas frente a las herramientas dedicadas".

El problema de Kaspersky Password Manager, es que el equipo detrás del desarrollo de este programa para generar contraseñas tuvo en cuenta las herramientas de fuerza bruta que te hemos comentado anteriormente. Por lo que sus contraseñas utilizan letras que no se usan de forma habitual. Y según Bédrune, este ha sido el gran problema.

Kaspersky Password Manager no generaba contraseñas seguras

Tal y como indica este experto en seguridad "Su método de descifrado de contraseñas se basa en el hecho de que es más probable que la 'e' y la 'a' aparezcan en una contraseña creada por un humano que la 'x' o la 'j', o que los bigramas 'th' y 'he' aparezcan mucho más a menudo que 'qx' o 'zr'". La intención de Kaspersky no era mala: evitar contraseñas con caracteres de uso común para que las herramientas que prueban múltiples contraseñas no consigan su objetivo. El problema es que, si los atacantes saben que se está usando Kaspersky Password Manager podían descifrar la contraseña de forma más sencilla.

Sí, es cierto que el sistema de Kaspersky Password Manager es bueno, ya que un atacante que intente descifrar una contraseña generada con este programa tardará mucho más hasta encontrarla. Pero si el hacker sabe que se está utilizando Kaspersky Password Manager, podrá descifrar la contraseña de forma mucho más fácil. Simplemente eliminarán caracteres comunes para centrarse en los que utiliza este generador de contraseñas seguras.

Y para más inri, Kaspersky Password Manager usa la hora actual del sistema en segundos para generar números aleatorios. Y esto significa que, si varios usuarios en diferentes lugares pulsan el botón correspondiente de forma simultánea, Kaspersky Password Manager generará exactamente la misma contraseña. Para que te hagas a la idea del peligro de este fallo en Kaspersky Password Manager, Jean-Baptiste Bédrune indica que "por ejemplo, hay 315619200 segundos entre 2010 y 2021, por lo que KPM podría generar como máximo 315619200 contraseñas para un conjunto de caracteres determinado. Forzarlas tarda unos minutos".

Decir que las versiones de KPM anteriores a la 9.0.2 Patch F en Windows, la 9.2.14.872 en Android o la 9.2.14.31 en iOS son las que se han visto afectadas. Eso sí, Kaspersky fue avisada de esta vulnerabilidad en junio de 2019 y en octubre ya lanzó una corrección. Además, en abril de 2021 ya avisó de que se tendrían que generar nuevas contraseñas por seguridad. De todas formas, si usas Kaspersky Password Manager, mejor que cambies todas tus contraseñas por si acaso. Así te evitas un dolor de cabeza innecesario.