El servicio de gestión de contraseñas de código abierto Bitwarden ha introducido un nuevo menú de autocompletado en línea que aborda el riesgo de robo de credenciales de usuario a través de campos de formulario maliciosos.
El problema se puso de manifiesto hace casi un año cuando los analistas de Flashpoint demostraron que era posible que los atacantes inyectaran iframes falsos en sitios legítimos vulnerables o subdominios susceptibles de ser secuestrados.
La respuesta de Bitwarden al riesgo en ese momento fue que la función de autocompletado de iframe debería seguir estando disponible para servir a escenarios de uso legítimos, como icloud.com o apple.com, pero seguiría estando deshabilitada por defecto.
Los usuarios que querían habilitarla recibían una advertencia visible sobre el riesgo de activar la opción en el menú de la extensión.
Unos días después, el equipo de Bitwarden anunció que añadiría otra capa de seguridad, permitiendo el autocompletado de iframes solo en sitios y subdominios de confianza del dominio de origen.
Hoy, el gestor de contraseñas ha introducido un sistema que incorpora las lecciones aprendidas de los retos de seguridad pasados, permitiendo a los usuarios rellenar las credenciales de acceso sin riesgo de perder sus datos sensibles a manos de actores de phishing.
Concretamente, las siguientes medidas de seguridad garantizan ahora la seguridad del sistema de autocompletado:
- Bitwarden solo rellenará las credenciales cuando un usuario seleccione un campo de formulario, mitigando el riesgo de rellenar automáticamente las credenciales en sitios web maliciosos o iframes sin conocimiento del usuario.
- Los usuarios tienen la opción de proteger con contraseña la información de acceso, añadiendo otra capa de seguridad al utilizar el autocompletado.
- Se realizaron exhaustivas pruebas de penetración por terceros para identificar y cerrar brechas de seguridad, presumiblemente relacionadas con iframes y subdominios.
Por defecto, la función está desactivada, pero los usuarios pueden habilitarla desde el icono de la extensión de Bitwarden en "Configuración" → "Autocompletado", donde pueden establecer las opciones del menú desplegable "Mostrar menú de autocompletado en los campos de formulario".
Para evitar conflictos, se recomienda desactivar las funciones de autocompletado del navegador web si están habilitadas en la extensión de Bitwarden.
El gestor de contraseñas ofrece múltiples opciones de autocompletado que incluyen atajos de teclado, un menú contextual dedicado, autocompletado al cargar la página y autocompletado manual.
Los usuarios también pueden establecer parámetros específicos para las URL de confianza para las que quieren que Bitwarden proporcione la opción de autocompletado.