El administrador de contraseñas Bitwarden ha sido uno de los objetivos de las campañas de 'phishing' que se llevan a cabo a través de anuncios de Google, en las que se roban las credenciales de la bóveda de contraseñas de los usuarios.
Los administradores de contraseñas son muy útiles de cara a las empresas y usuarios que necesitan almacenar una gran cantidad de claves únicas para cada sitio. Algunos de estos administradores de contraseñas, como Bitwarden, están basados en la nube por lo que permiten acceder a las credenciales a través de sitios web y aplicaciones móviles.
Con estos servicios las contraseñas se almacenan también en la nube en lo que se denomina como 'bóvedas de contraseñas', que mantienen estos datos en conjuntos encriptados. Para acceder a las bóvedas y desencriptarlas, los usuarios utilizan contraseñas maestras. Por todo ello, las claves maestras se convierten en datos esenciales para los ciberdelincuentes que, para obtenerlas, utilizan campañas de 'phishing' -suplantación de una fuente légítima-, entre otros ataques.
En este sentido, algunos usuarios han denunciado en foros como Reddit o el propio de Bitwarden que actores de amenazas están llevando a cabo ataques con este servicio como objetivo, creando páginas 'phishing' que simulan la página de inicio de sesión para acceder a la bóveda de contraseñas.
Los usuarios encontraron estas páginas falsas de bóveda web de Bitwarden a través de los anuncios de Google, que aparecían como resultado principal tras buscar el sitio web original.
Tal y como ha comprobado BleepingComputer, el dominio utilizado por los actores de amenazas para el sitio web del anuncio era 'appbitwarden.com'. Al hacer clic, la página redirigía a los usuarios automáticamente a 'bitwardenlogin.com', donde se mostraba una "réplica exacta" de la página de inicio de sesión real de la web de bóveda de Bitwarden (que utiliza el dominio 'vault.bitwarden.com').
En la página replicada, los usuarios introducían las credenciales y, cuando las enviaban, la página falsa les redirigía a la página de inicio de sesión legítima de Bitwarden. De esta manera, el robo de datos es prácticamente imperceptible.
No obstante, según explica BleepingComputer, en las primeras pruebas que realizaron sus investigadores introdujeron credenciales falsas y, cuando probaron con credenciales de inicio de sesión de prueba reales, la página se cerró, por lo que no alcanzaron a comprobar si, con este ataque, los ciberdelincuentes también roban 'cookies' de inicio de sesión con multifactor respaldadas por tokens de autenticación, con los que se agrega una capa de protección al inicio de sesión.
Para evitar caer en un ataque de estas características, se ha de comprobar el URL de la página a la que se está accediendo, de forma que se pueda comprobar si es el original o resulta sospechoso. Asimismo, BleepingComputer también recalca la importancia de proteger los datos en línea, sobre todo, las contraseñas maestras. Para ello, se recomienda configurar la autenticación de múltiples factores en el servicio de administración de contraseñas.
Los métodos más valorados para proteger la cuenta son las llaves de seguridad de hardware, una aplicación de autenticación y verificación por SMS, aunque se puede secuestrar en ataques de intercambio de la tarjeta sim, tal y como indica BleepingComputer.
La importancia de la protección de los datos que se almacenan en la nube se confirma aún más tras las brechas de seguridad recientes en otros gestores de contraseñas como LastPass y su matriz GoTo. En este ataque, los ciberdelincuentes pudieron alcanzar elementos de la información de los clientes.