Un investigador de seguridad cibernética ha revelado vulnerabilidades de clickjacking de día cero que afectan a once administradores de contraseñas principales, lo que puede exponer a decenas de millones de usuarios al robo de credenciales a través de un solo clic malicioso.
La investigación, realizada por el experto en seguridad Marek Tóth, revela que los atacantes pueden explotar estas vulnerabilidades para robar detalles de la tarjeta de crédito, información personal, credenciales de inicio de sesión e incluso códigos de autenticación de dos factores de usuarios desprevenidos.
La nueva técnica de ataque, denominada “Clickjacking de extensión basado en DOM”, representa una evolución significativa de los ataques tradicionales basados en la web.
Cadena de ataque de extensión basada en DOM
A diferencia de los métodos convencionales que se dirigen a las aplicaciones web a través de iFrames invisibles, esta técnica manipula elementos de interfaz de usuario que las extensiones del administrador de contraseñas inyectan en estructuras DOM de la página web, haciéndolas invisibles mientras quedan haciendo clic.
El ataque funciona creando scripts maliciosos que ocultan elementos de interfaz de usuario de extensión utilizando la manipulación de JavaScript, particularmente a través de ajustes de opacidad y técnicas de superposición DOM.
Cuando los usuarios encuentran elementos aparentemente legítimos como pancartas de consentimiento de cookies o desafíos de Captcha en sitios web comprometidos, un solo clic puede desencadenar el llenado automático de formularios ocultos con sus datos confidenciales almacenados.
Las pruebas extensas revelan una vulnerabilidad generalizada
Tóth es integral investigación probada Once administradores de contraseñas populares, incluidos líderes de la industria como 1Password, Bitwarden, LastPass, Dashlane, Keeper y otros.
Los resultados fueron alarmantes: todos los administradores de contraseñas probados fueron inicialmente vulnerables a al menos una variante de la técnica de clickjacking de extensión basada en DOM.
Las vulnerabilidades afectan aproximadamente 40 millones de instalaciones activas en la tienda web Chrome, los complementos de Firefox y las plataformas de complementos de borde.
Seis de los nueve administradores de contraseñas probados eran vulnerables a la extracción de detalles de la tarjeta de crédito, mientras que ocho de cada diez podrían explotarse para exfiltrado información personal almacenada.
Quizás la mayoría de los diez de once administradores de contraseñas eran susceptibles al robo de credenciales, incluidos los códigos de contraseña de un solo tiempo (TOTP) basados en el tiempo utilizados para la autenticación de dos factores.
Después de la divulgación responsable en abril de 2025, varios proveedores han implementado soluciones. Dashlane, Keeper, Nordpass, ProtonPass y RoboForm han parcheado con éxito sus extensiones contra los métodos de ataque descritos.
Sin embargo, los principales jugadores, incluidos 1Password, Bitwarden, LastPass, contraseñas de iCloud, Enpass y Logmeonce, siguen siendo vulnerables a partir de agosto de 2025, lo que representa aproximadamente 32.7 millones de instalaciones activas aún en riesgo.
Administradores de contraseñas vulnerables
La persistencia de estas vulnerabilidades en los administradores de contraseñas ampliamente utilizados destaca la complejidad de asegurar las extensiones del navegador contra ataques sofisticados del lado del cliente.
A diferencia del clickjacking tradicional, que se puede mitigar a través de encabezados HTTP como opciones X-Frame o Content-Security-Policy, los ataques basados en DOM requieren medidas defensivas más completas en el nivel de extensión.
Escenarios de ataque e impacto del mundo real
La investigación demuestra múltiples escenarios de ataque con diferentes niveles de sofisticación. En un sitio web controlado por los atacantes, los actores maliciosos pueden robar detalles de la tarjeta de crédito e información personal sin requerir ninguna vulnerabilidad existente en servicios legítimos.
POC publicado por un investigador
Más preocupante es el vector de ataque del subdominio, donde los atacantes explotan las vulnerabilidades o las adquisiciones del subdominio de los sitios cruzados (XSS) para dirigir a los usuarios en dominios de confianza.
Los administradores de contraseñas generalmente se encuentran en las credenciales de enfoque automático no solo en el dominio exacto donde se guardaron sino también en todos los subdominios, ampliando significativamente la superficie de ataque.
Esto significa que un atacante que encuentra XSS en cualquier subdominio puede robar las credenciales de la cuenta principal de un usuario a través de técnicas de trucos.
Si bien las correcciones integrales requieren acción de los desarrolladores de extensión, los usuarios pueden implementar varias medidas de protección. Para los navegadores basados en el cromo, los expertos en seguridad recomiendan configurar el acceso del sitio de extensión a “en clic” en lugar del acceso automático, lo que brinda a los usuarios un control manual sobre la funcionalidad de enfoque automático.
La investigación también destaca la importancia de mantener las extensiones de contraseñas actualizadas, ya que varios proveedores han publicado parches después de la divulgación.
Arreglar en progreso
Los usuarios deben verificar que estén ejecutando las últimas versiones y considerar deshabilitar las funciones de enfoque automático manual si están disponibles, aunque esto puede reducir la comodidad.
El descubrimiento de estas vulnerabilidades subraya la naturaleza evolutiva de las amenazas de seguridad web y la necesidad de una investigación de seguridad continua en los ecosistemas de extensión del navegador.
A medida que los administradores de contraseñas se vuelven cada vez más centrales con las prácticas de seguridad digital, garantizar su resistencia contra ataques sofisticados del lado del cliente se vuelve primordial para proteger a millones de datos confidenciales de los usuarios.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
