Cuidado con guardar credenciales en el navegador

Recientemente en el Centro de Respuestas a incidentes Cibernéticos CERT-PY hemos sido alertados nuevamente acerca de credenciales filtradas, entre las cuales se encontraban credenciales de ciudadanos paraguayos, específicamente, credenciales correspondientes a servicios web gubernamentales. Estas credenciales fueron obtenidas y recolectadas por criminales a partir de la infección de dispositivos con varias familias de malware, los cuales son capaces de extraer las credenciales que la víctima tiene guardadas en su navegador.

Se trata de programas maliciosos (malware) que extraen credenciales del navegador web (credenciales guardadas) mayormente y/o del clientes de correos. Este tipo de malware tienen la capacidad de extraer cualquier credencial almacenada en el navegador (credenciales de cuentas de correo personales, redes sociales, plataformas de e-commerce, bancarias, plataformas gubernamentales, etc.), independientemente de lo robusta que puedan ser esas contraseñas, ya que el navegador, por lo general, las guarda en texto claro. Se debe tener en cuenta que, aunque algunos navegadores modernos lo guardan de manera cifrada, este cifrado no ha sido efectivo para evitar esta técnica.

Ejemplos de familia de malware de este tipo son AZORult, Racoon, Vidar, Emotet, LokiBot entre otros. Las campañas de infección del malware RedLine recientemente han sumado muchas vícitmas, apuntando específicamente a credenciales guardadas en Google Chrome, Opera y Edge. Redline, Rackoon y otros malware modernos son capaces de eludir el cifrado de los navegadores.

Como el origen del problema es la infección mediante estos malware, en caso de que se haya filtrado una contraseña correspondiente a un determinado sitio web, aun si el administrador del sitio web restableciera o bloqueara la credencial del usuario afectado, el incidente no estaría completamente resuelto hasta tanto el usuario infectado no elimina la infección de su dispositivo.

Comprueba las contraseñas de Internet que has guardado en tu navegador - Hijos Digitales

En esta oportunidad, entre las credenciales filtradas, se encuentran credenciales correspondientes a varios portales web gubernamentales (Marangatu, Mi IPS, BNF, Campus, etc.). Estas credenciales corresponden tanto a funcionarios como a ciudadanos que utilizan estos servicios y que poseen una cuenta en dichos portales, y cuyo dispositivo se infectó con malware. Se debe tener en cuenta que estas filtraciones no se deben a compromisos ni problemas de seguridad de los portales web, sino debido a que el dispositivo del usuario que se encuentran infectados. Igualmente, debe tenerse en cuenta que, si bien los criminales decidieron publicar estas credenciales de portales gubernamentales, éstos muy probablemente recopilaron y tienen en su poder todas las contraseñas almacenadas en los navegadores de las víctimas afectadas: contraseñas de correo electrónico, redes sociales, cuentas bancarias o cualquier otra contraseña almacenada al momento de la infección. Es posible que las credenciales sean antiguas y ya no sean válidas.

No es la primera vez que se ofrece este conjunto de credenciales en Internet. En setiembre del año pasado, en un foro de cibercriminales, se ofrecían casi 6.000 credenciales únicas de ciudadanos paraguayos, las cuales también correspondían a dispositivos infectados con malware: https://www.cert.gov.py/noticias/credenciales-de-ciudadanos-paraguayos-expuestas-en-internet

Es por ello que desde el CERT-PY reiteramos la recomendación de no guardar nunca las credenciales en los navegadores, sino utilizar herramientas específicas como un gestor de contraseña. Ejemplos de gestor de contraseña gratuitos y simples son Keepass, Lastpass, u otros. Algunos dispositivos y sistemas operativos incluso ya traen un gestor de contraseñas nativo (por ej iOS, mediante el Llavero iCloud) Puede leer más sobre esto en el siguiente artículo: 

https://www.cert.gov.py/noticias/almacenar-credenciales-de-acceso-en-navegadores-web-es-inseguro

En caso de recibir una notificación del CERT-PY y/o ante algún indicio de que nuestra credencial se haya filtrado:

  • Cambiar las contraseñas de las cuentas comprometidas. En caso que hayan reutilizado las contraseñas en otras cuentas y/o sistemas, cambiarlas también.
  • Activar autenticación multifactor siempre que sea posible, que ayudará a mitigar el abuso de cualquier credencial comprometida.
  • Instalar un antivirus en sus dispositivos (PC y teléfono) y mantenerlo actualizado para mitigar amenazas conocidas. Realizar escaneo rutinario en busca de malware en su sistemas.
Compartir: