Confiamos en nuestros gestores de contraseñas como si fueran cajas fuertes digitales. Pero, según el experto Marek Tóth, basta con visitar la web equivocada y hacer clic donde no corresponde para poner en riesgo ese blindaje. La técnica que presentó en DEF CON 33 no apunta a las aplicaciones, sino a las extensiones que usamos a diario en el navegador. En sus pruebas, asegura que ese gesto puede activar un sistema de robo de información sin que el usuario lo perciba.
La investigación, hecha pública en una de las principales conferencias internacionales de seguridad informática, documenta cómo once extensiones de gestores de contraseñas podían ser manipuladas para filtrar datos. Tóth afirma que notificó el hallazgo a los fabricantes en abril de 2025 y que a mediados de agosto varias seguían sin correcciones. El estudio incluye pruebas prácticas, sitios web diseñados para demostrar el fallo y una estimación del alcance: alrededor de 40 millones de instalaciones activas potencialmente expuestas.
Cómo funciona el ataque y por qué te afecta
La técnica descrita por Tóth se basa en ocultar los elementos que las extensiones insertan en la página para que el usuario interactúe con ellos sin verlo. Con cambios mínimos de opacidad o superposición, el atacante consigue que el autocompletado se active en segundo plano. Y hay varias formas de lograrlo, desde manipular el elemento raíz de la extensión hasta alterar el cuerpo entero del sitio, además de variantes por superposición.
El escenario más delicado aparece cuando no es necesaria una web trampa, sino que basta con aprovechar una página legítima con un fallo de seguridad. En esos casos, explica, el atacante puede capturar credenciales de inicio de sesión. El riesgo aumenta porque muchos gestores rellenan datos no solo en el dominio original, sino también en subdominios, lo que amplía la superficie de ataque sin que el usuario lo note.
Según los datos publicados por Tóth y recogidos por Socket, a 19 de agosto seguían figurando como vulnerables 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass y LogMeOnce. El 20 de agosto, Socket actualizó que Bitwarden había enviado la versión 2025.8.0 con un parche, pendiente de distribución en las tiendas de extensiones. Entre los gestores que sí aplicaron medidas correctoras figuran NordPass, Dashlane, Keeper, ProtonPass y RoboForm. Eso sí, este listado puede variar en cualquier momento si otras compañías publican arreglos tras la divulgación.
Ejemplo de extensión de gestor de contraseñas para el navegador
La reacción de los fabricantes fue dispar. Socket señala que 1Password y LastPass clasificaron el fallo como “informativo”, una categoría que suele implicar ausencia de cambios inmediatos. Bitwarden, Enpass y Apple (iCloud Passwords) confirmaron que trabajan en actualizaciones, mientras que LogMeOnce no respondió a los intentos de contacto. Algunas compañías admitieron la existencia del riesgo, pero lo relacionaron con vulnerabilidades externas en los sitios visitados.
Mientras algunos desarrolladores deciden cómo actuar, Tóth y el equipo de Socket coinciden en que hay medidas prácticas para reducir la exposición. Una de las más eficaces es desactivar el autocompletado manual y recurrir al copiar y pegar. También se recomienda configurar el relleno automático solo para coincidencias exactas de URL, evitando que funcione en subdominios. En navegadores basados en Chromium, puede limitarse el uso de la extensión con la opción de acceso “al hacer clic”, de modo que el usuario autorice explícitamente cada uso.
El investigador muestra cómo es posible superponer elementos invisibles en la página para engañar al usuario y hacerle pulsar en el gestor de contraseñas sin darse cuenta
No todo es tan inmediato como hacer clic y perderlo todo. Para que el ataque tenga éxito, la extensión debe estar desbloqueada, el navegador no haberse reiniciado y el usuario interactuar en el momento preciso. Además, el análisis se centró únicamente en once extensiones. No hay pruebas de que todas las soluciones del mercado sean vulnerables, aunque el experto advierte que el patrón puede repetirse en otros tipos de extensiones.
El punto débil está en el DOM, la estructura interna que usan las webs para organizar botones, formularios o menús. Los gestores de contraseñas insertan ahí sus elementos, y si una página maliciosa consigue moverlos, ocultarlos o forzarlos, el usuario puede terminar haciendo clic sin darse cuenta. Ese mismo riesgo se extiende a otras extensiones como carteras de criptomonedas o aplicaciones de notas.
Imágenes | Xataka con Gemini 2.5
En Xataka | Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad
–
La noticia
Un solo clic y adiós a nuestras contraseñas. Así es la vulnerabilidad que afecta las extensiones de varios gestores
fue publicada originalmente en
Xataka
por
Javier Marquez
.
