{"id":4067,"date":"2026-03-26T15:29:29","date_gmt":"2026-03-26T15:29:29","guid":{"rendered":"https:\/\/all4sec.es\/blog\/?p=4067"},"modified":"2026-03-26T15:29:29","modified_gmt":"2026-03-26T15:29:29","slug":"gestores-de-contrasenas-bajo-la-lupa","status":"publish","type":"post","link":"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/","title":{"rendered":"Gestores de contrase\u00f1as bajo la lupa"},"content":{"rendered":"\n

Investigadores de la escuela<\/strong> Polit\u00e9cnica Federal de Z\u00farich<\/strong> han publicado un estudio donde analizan la seguridad de tres gestores de contrase\u00f1as ampliamente utilizados: Bitwarden<\/a>, LastPass<\/a> y Dashlane<\/a>. Tambi\u00e9n han incluido, aunque parcialmente, 1Password<\/a>.<\/h4>\n\n\n\n

Superficie de ataque analizada<\/strong><\/h3>\n\n\n\n

La evaluaci\u00f3n <\/a>ha incluido distintos mecanismos cr\u00edticos de seguridad que forman parte del modelo de confianza de estos productos y que est\u00e1n relacionados con los an\u00e1lisis criptogr\u00e1ficos y de dise\u00f1o en cuatro aspectos muy espec\u00edficos:<\/p>\n\n\n

\n
\"\"<\/figure><\/div>\n\n\n
    \n
  1. Claves de recuperaci\u00f3n<\/strong><\/li>\n\n\n\n
  2. Validaci\u00f3n de acceso a cuentas<\/strong><\/li>\n\n\n\n
  3. Compartici\u00f3n de secretos entre usuarios<\/strong><\/li>\n\n\n\n
  4. Compatibilidad backward (soporte de versiones antiguas)<\/strong><\/li>\n<\/ol>\n\n\n\n

    Lo m\u00e1s relevante del estudio es que los ataques no se basan en romper los mecanismos de cifrado, sino en explotar decisiones de dise\u00f1o de los productos.<\/p>\n\n\n\n

    Claves de recuperaci\u00f3n<\/strong><\/h3>\n\n\n\n

    El estudio indica que estos mecanismos pueden introducir rutas alternativas que reducen las garant\u00edas del modelo criptogr\u00e1fico principal. Por ejemplo, bajo ciertos supuestos, el proceso de recuperaci\u00f3n permite reconstruir o reconfigurar claves sin aplicar exactamente las mismas protecciones que en el acceso normal a la b\u00f3veda<\/strong>.<\/p>\n\n\n

    \n
    \"\"<\/figure><\/div>\n\n\n

    Esto abre la puerta a escenarios donde un atacante con capacidades avanzadas \u2014por ejemplo, control parcial del servidor<\/strong> o del flujo de recuperaci\u00f3n\u2014 podr\u00eda degradar la seguridad esperada. En consecuencia, el mecanismo, pensado para reforzar la resiliencia frente a la p\u00e9rdida de credenciales, puede convertirse en un punto cr\u00edtico<\/strong> si no est\u00e1 protegido con autenticaci\u00f3n e integridad equivalentes al flujo principal.<\/p>\n\n\n\n

    Validaci\u00f3n de acceso a cuentas<\/strong><\/h3>\n\n\n\n

    En el apartado de validaci\u00f3n de acceso, los investigadores de ETH Zurich<\/strong><\/a> analizaron qu\u00e9 ocurr\u00eda si el servidor del gestor de contrase\u00f1as se comportaba de forma maliciosa<\/strong> o hubiera sido comprometido.<\/p>\n\n\n

    \n
    \"\"<\/figure><\/div>\n\n\n

    En ese escenario, demostraron que se puede manipular el c\u00f3digo o los datos enviados al cliente y alterar el proceso de autenticaci\u00f3n<\/strong> sin que este lo detecte. El problema no estaba en romper el cifrado, sino en que ciertos elementos y metadatos no siempre estaban autenticados con la suficiente robustez criptogr\u00e1fica. Esto debilitaba la promesa \u201czero-knowledge<\/a><\/strong>\u201d, ya que bajo un servidor hostil la validaci\u00f3n de acceso pod\u00eda no garantizar plenamente la integridad y legitimidad de la b\u00f3veda.<\/p>\n\n\n\n

    Compartici\u00f3n de contrase\u00f1as<\/strong><\/h3>\n\n\n\n

    La compartici\u00f3n de contrase\u00f1as<\/a> entre varios usuarios fue otro de los escenarios analizados. Se trataba de un punto especialmente interesante porque muchas organizaciones usan estos productos para compartir accesos a servicios entre diferentes usuarios<\/strong>.<\/p>\n\n\n

    \n
    \"\"<\/figure><\/div>\n\n\n

    El estudio detect\u00f3 que, bajo ciertos modelos de amenaza \u2014especialmente con un servidor malicioso\u2014, pueden manipularse claves p\u00fablicas, estados de compartici\u00f3n o procesos de revocaci\u00f3n sin que el cliente verifique siempre su integridad de forma estricta<\/strong>. Esto podr\u00eda permitir accesos indebidos persistentes o inconsistencias tras la retirada de permisos.<\/p>\n\n\n\n

    Compatibilidad con versiones antiguas (Backward compatibility)<\/strong><\/h3>\n\n\n\n

    Este fue uno de los aspectos m\u00e1s interesantes<\/strong> del estudio.<\/p>\n\n\n\n

    Mantener el soporte para clientes legacy<\/em> puede obligar a aceptar protocolos o formatos criptogr\u00e1ficos menos robustos<\/strong>.<\/p>\n\n\n

    \n
    \"\"<\/figure><\/div>\n\n\n

    Bajo determinados escenarios, un servidor malicioso pod\u00eda forzar un downgrade<\/em> o aprovechar rutas de procesamiento heredadas que no apliquen las mismas garant\u00edas de integridad y autenticaci\u00f3n que las versiones actuales<\/strong>. Esto introducir\u00eda una posible degradaci\u00f3n silenciosa del nivel de seguridad.<\/p>\n\n\n\n

    En consecuencia, la \u201cbackward compatibility<\/em><\/strong>\u201d se convertir\u00eda en una deuda t\u00e9cnica que podr\u00eda ampliar la superficie de ataque si no se gestionara con controles criptogr\u00e1ficos estrictos y mecanismos de prevenci\u00f3n de downgrade<\/em><\/strong>.<\/p>\n\n\n\n

    PoC<\/strong><\/h3>\n\n\n\n

    En definitiva, estamos ante cuatro casos<\/strong> que podr\u00edan tener relevancia en la seguridad de los productos si realmente fueran explotables de forma masiva.<\/p>\n\n\n

    \n
    \"\"<\/figure><\/div>\n\n\n

    De cualquier forma, y ante esta posibilidad, los investigadores notificaron a los fabricantes afectados y obviamente dieron tiempo para corregir los problemas que hab\u00edan identificados. Posteriormente anunciaron que, llegada la fecha acordada, publicar\u00edan algunas pruebas de concepto (PoC<\/strong>) como demostraci\u00f3n de la viabilidad<\/strong> de un posible ataque.<\/p>\n\n\n\n

    Y lo interesante es que lo han hecho.<\/p>\n\n\n\n

    Las PoC est\u00e1n disponibles p\u00fablicamente<\/a> lo que permitir\u00eda llevar a cabo un ejercicio de verificaci\u00f3n: ya no hablamos solo de hip\u00f3tesis te\u00f3ricas; hablamos de implementaciones pr\u00e1cticas reproducibles que la comunidad podr\u00eda chequear.<\/p>\n\n\n\n

    \u00bfEst\u00e1n en peligro los gestores de contrase\u00f1as?<\/strong><\/h3>\n\n\n\n

    La respuesta desde nuestro punto de vista es que probablemente no.<\/strong><\/p>\n\n\n\n

    Los gestores de contrase\u00f1as siguen siendo mecanismos robustos de protecci\u00f3n de claves de accesos<\/strong><\/a>. <\/strong>Entre otras razones porque los tipos de ataques aqu\u00ed descritos no son triviales, ni masivos, ni explotables de forma sencilla<\/strong> y en muchas ocasiones requieren condiciones espec\u00edficas del entorno.<\/p>\n\n\n

    \n
    \"\"<\/figure><\/div>\n\n\n

    Sin embargo, la evaluaci\u00f3n realizada refuerza un principio fundamental: ning\u00fan control aislado, por robusto que parezca, es suficiente<\/strong>.<\/p>\n\n\n\n

    Los gestores de contrase\u00f1as son una pieza m\u00e1s dentro de una arquitectura Zero Trust<\/strong><\/a> que, bien dise\u00f1ada, debe incluir adem\u00e1s autenticaci\u00f3n fuerte<\/strong>, segmentaci\u00f3n<\/strong>, monitorizaci\u00f3n<\/strong> continua y protecci\u00f3n activa<\/strong> de forma coordinada.<\/p>\n\n\n\n

    En entornos corporativos existen soluciones que integran estos gestores de contrase\u00f1as<\/strong> en los modelos Zero Trust<\/strong><\/a> y que permiten complementarlos con mecanismos de MFA<\/a> robustos, control de acceso adaptativo o visibilidad integral <\/strong>del riesgo.<\/p>\n\n\n\n

    Y estos otros mecanismos tambi\u00e9n son indispensables.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Investigadores de la escuela Polit\u00e9cnica Federal de Z\u00farich han publicado un estudio donde analizan la seguridad de tres gestores de contrase\u00f1as ampliamente utilizados.<\/p>\n","protected":false},"author":3,"featured_media":4070,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[2],"tags":[],"yoast_head":"\nGestores de contrase\u00f1as bajo la lupa - all4sec.es<\/title>\n<meta name=\"description\" content=\"Gestores de contrase\u00f1as bajo la lupa. Investigadores analizan la seguridad de tres gestores de contrase\u00f1as.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Gestores de contrase\u00f1as bajo la lupa - all4sec.es\" \/>\n<meta property=\"og:description\" content=\"Gestores de contrase\u00f1as bajo la lupa. Investigadores analizan la seguridad de tres gestores de contrase\u00f1as.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/\" \/>\n<meta property=\"og:site_name\" content=\"all4sec.es\" \/>\n<meta property=\"article:published_time\" content=\"2026-03-26T15:29:29+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2026\/03\/PM-5-carlosalbertoteixeira-password-704252_1280.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1280\" \/>\n\t<meta property=\"og:image:height\" content=\"959\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Juanjo Galan\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Juanjo Galan\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"6 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/\",\"url\":\"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/\",\"name\":\"Gestores de contrase\u00f1as bajo la lupa - all4sec.es\",\"isPartOf\":{\"@id\":\"https:\/\/all4sec.es\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2026\/03\/PM-5-carlosalbertoteixeira-password-704252_1280.jpg\",\"datePublished\":\"2026-03-26T15:29:29+00:00\",\"dateModified\":\"2026-03-26T15:29:29+00:00\",\"author\":{\"@id\":\"https:\/\/all4sec.es\/blog\/#\/schema\/person\/d8839fb727b62b7c4e8598b89fdaafa9\"},\"description\":\"Gestores de contrase\u00f1as bajo la lupa. Investigadores analizan la seguridad de tres gestores de contrase\u00f1as.\",\"breadcrumb\":{\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/#breadcrumb\"},\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/#primaryimage\",\"url\":\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2026\/03\/PM-5-carlosalbertoteixeira-password-704252_1280.jpg\",\"contentUrl\":\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2026\/03\/PM-5-carlosalbertoteixeira-password-704252_1280.jpg\",\"width\":1280,\"height\":959},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Portada\",\"item\":\"https:\/\/all4sec.es\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Gestores de contrase\u00f1as bajo la lupa\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/all4sec.es\/blog\/#website\",\"url\":\"https:\/\/all4sec.es\/blog\/\",\"name\":\"all4sec.es\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/all4sec.es\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"es\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/all4sec.es\/blog\/#\/schema\/person\/d8839fb727b62b7c4e8598b89fdaafa9\",\"name\":\"Juanjo Galan\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/all4sec.es\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/a3f0814447c3b2bad83feb430187bee0?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/a3f0814447c3b2bad83feb430187bee0?s=96&d=mm&r=g\",\"caption\":\"Juanjo Galan\"},\"url\":\"https:\/\/all4sec.es\/blog\/index.php\/author\/juanjo\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Gestores de contrase\u00f1as bajo la lupa - all4sec.es","description":"Gestores de contrase\u00f1as bajo la lupa. Investigadores analizan la seguridad de tres gestores de contrase\u00f1as.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/","og_locale":"es_ES","og_type":"article","og_title":"Gestores de contrase\u00f1as bajo la lupa - all4sec.es","og_description":"Gestores de contrase\u00f1as bajo la lupa. Investigadores analizan la seguridad de tres gestores de contrase\u00f1as.","og_url":"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/","og_site_name":"all4sec.es","article_published_time":"2026-03-26T15:29:29+00:00","og_image":[{"width":1280,"height":959,"url":"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2026\/03\/PM-5-carlosalbertoteixeira-password-704252_1280.jpg","type":"image\/jpeg"}],"author":"Juanjo Galan","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"Juanjo Galan","Tiempo de lectura":"6 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/","url":"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/","name":"Gestores de contrase\u00f1as bajo la lupa - all4sec.es","isPartOf":{"@id":"https:\/\/all4sec.es\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/#primaryimage"},"image":{"@id":"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/#primaryimage"},"thumbnailUrl":"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2026\/03\/PM-5-carlosalbertoteixeira-password-704252_1280.jpg","datePublished":"2026-03-26T15:29:29+00:00","dateModified":"2026-03-26T15:29:29+00:00","author":{"@id":"https:\/\/all4sec.es\/blog\/#\/schema\/person\/d8839fb727b62b7c4e8598b89fdaafa9"},"description":"Gestores de contrase\u00f1as bajo la lupa. Investigadores analizan la seguridad de tres gestores de contrase\u00f1as.","breadcrumb":{"@id":"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/#primaryimage","url":"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2026\/03\/PM-5-carlosalbertoteixeira-password-704252_1280.jpg","contentUrl":"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2026\/03\/PM-5-carlosalbertoteixeira-password-704252_1280.jpg","width":1280,"height":959},{"@type":"BreadcrumbList","@id":"https:\/\/all4sec.es\/blog\/index.php\/2026\/03\/26\/gestores-de-contrasenas-bajo-la-lupa\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/all4sec.es\/blog\/"},{"@type":"ListItem","position":2,"name":"Gestores de contrase\u00f1as bajo la lupa"}]},{"@type":"WebSite","@id":"https:\/\/all4sec.es\/blog\/#website","url":"https:\/\/all4sec.es\/blog\/","name":"all4sec.es","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/all4sec.es\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/all4sec.es\/blog\/#\/schema\/person\/d8839fb727b62b7c4e8598b89fdaafa9","name":"Juanjo Galan","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/all4sec.es\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/a3f0814447c3b2bad83feb430187bee0?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/a3f0814447c3b2bad83feb430187bee0?s=96&d=mm&r=g","caption":"Juanjo Galan"},"url":"https:\/\/all4sec.es\/blog\/index.php\/author\/juanjo\/"}]}},"_links":{"self":[{"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/posts\/4067"}],"collection":[{"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/comments?post=4067"}],"version-history":[{"count":11,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/posts\/4067\/revisions"}],"predecessor-version":[{"id":4087,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/posts\/4067\/revisions\/4087"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/media\/4070"}],"wp:attachment":[{"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/media?parent=4067"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/categories?post=4067"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/tags?post=4067"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}