Cuando los atacantes quieren entrar en una casa cerrada, normalmente eligen una puerta y siguen trabajando en ella. El equipo que persiguió a Dashlane la semana pasada hizo lo contrario. ellos tocaron en miles de puertas a la vezesperando que algunos se abrieran. El administrador de contraseñas dice que la apuesta dio sus frutos en menos de 20 cuentas personales antes de que sus sistemas cerraran el resto.
Conclusiones clave:
- Los atacantes abusaron del sistema de registro de dispositivos de Dashlane, rociando códigos de seis dígitos en muchas cuentas a la vez en lugar de ingresar una sola.
- Menos de 20 usuarios de planes personales habían descargado bóvedas cifradas; los bloqueos automáticos protegían a todos los demás.
- Las bóvedas robadas permanecen bloqueadas a menos que la contraseña maestra del usuario sea débil, porque Dashlane ejecuta el algoritmo Argon2 para hacer que el descifrado sea lento y costoso.
La campaña comenzó el domingo 31 de mayo. Un actor desconocido buscó la función que permite a las personas agregar un nuevo teléfono o computadora portátil a su cuenta Dashlane. Normalmente, eso es plomería de rutina. Aquí se convirtió en la forma de entrar. El atacante atacó las interfaces de registro de dispositivos de Dashlane con una avalancha de solicitudes automatizadas dirigidas a una gran cantidad de direcciones de correo electrónico registradas.
En una actualización publicada el jueves, Dashlane describió el método claramente: «El actor de amenazas apuntó a los puntos finales API para el registro de dispositivos y utilizó un ataque de fuerza bruta para enviar un gran volumen de solicitudes automatizadas a esos puntos finales».
Las defensas automáticas de Dashlane se activaron y bloquearon las cuentas objetivo. Aun así, antes de que la empresa cerrara completamente el agujero, el atacante adivinó tokens válidos para menos de 20 clientes de planes personales. Eso les permitió registrar un dispositivo nuevo en cada cuenta y obtener una copia de la bóveda cifrada.
Cómo funciona realmente el truco
Agregar un dispositivo a Dashlane comienza con una verificación de identidad. El servicio envía por correo electrónico un token único de seis dígitos al titular de la cuenta o, para las personas que utilizan una aplicación de autenticación, valida un código generado allí. Ingrese el código en el nuevo dispositivo y Dashlane le entregará la bóveda cifrada. El contenido permanece ilegible hasta que el usuario escribe la contraseña maestra, que funciona como clave de descifrado. La documentación de Dashlane es clara en cuanto a que el código de un solo uso debe ingresarse en el dispositivo de inscripción.
Buscar una sola cuenta de esta manera sería una pérdida de esfuerzo. Incluso con un período de tres horas antes de que caduque cada código, una cuenta tiene un millón de códigos posibles. Adivinar cuál es la correcta a tiempo es casi imposible, y los límites de tasas bloquearían la cuenta mucho antes de que llegara la suerte.
Entonces el atacante cambió las cuentas. En lugar de una cuenta, solicitaron códigos de dispositivo en miles de cuentas e ingresaron conjeturas en todas ellas al mismo tiempo. Pruebe dos cuentas y sus probabilidades por intento aumentarán a 1 entre 500.000. Pruebe con mil y aumentarán a aproximadamente 1 entre 1.000. Cuanto más amplia es la red, más probable es que llegue un código. Esta es la misma lógica detrás de la pulverización de contraseñas, donde los atacantes prueban algunas contraseñas comunes en muchas cuentas en lugar de muchas contraseñas en una sola. Difundir los intentos también debilita la limitación de tasas, ya que ninguna cuenta resulta lo suficientemente afectada como para activar todas las alarmas.
El enfoque funcionó en menos de 20 cuentas antes de que Dashlane lo cerrara. La compañía dice que se comunicó con todos los usuarios afectados y que cualquiera que no haya tenido noticias suyas está fuera de peligro.
Por qué las bóvedas robadas probablemente sean inútiles
Poseer una bóveda cifrada no es lo mismo que leerla. Para acceder al contenido, el atacante todavía tiene que descifrar la contraseña maestra. Dashlane se apoya aquí en Argon2, un algoritmo creado para hacer que la conversión de contraseña a hash sea deliberadamente lenta y consuma muchos recursos. Incluso con GPU o hardware de craqueo personalizado, realizar millones de conjeturas consume una enorme cantidad de tiempo y dinero.
Para cualquiera que utilice una contraseña maestra larga, aleatoria y de alta entropía, las probabilidades de lograr un descifrado exitoso siguen siendo mínimas. El problema es que mucha gente no lo hace. Si una contraseña maestra aparece en las listas de palabras que comercializan los crackers, las posibilidades mejoran, aunque el éxito sigue siendo una posibilidad remota.
El episodio rima con el robo de LastPass de 2022, cuando los atacantes se llevaron bóvedas cifradas y, con el tiempo, abrieron algunas de ellas. Ese daño tardó años en salir a la luz. Posteriormente, los investigadores vincularon una serie de robos de criptomonedas con esas bóvedas robadas, con contraseñas maestras débiles y configuraciones de cifrado más antiguas y débiles acabando con las víctimas. vinculó aproximadamente $150 millones en robos de criptomonedas a la infracción, y los investigadores rastrearon los drenajes de billeteras Continuando hasta finales de 2025.. La lección se mantuvo: una copia fuera de línea de una bóveda le da al atacante tiempo ilimitado para adivinar.
Dashlane dice que su diseño evita dos de los peores puntos débiles de LastPass. Ningún campo dentro de una bóveda de Dashlane permanece sin cifrar, por lo que no hay URL de sitios web para hojear sin la contraseña maestra. Y cuando Dashlane fortalece su cifrado para seguir el ritmo de un descifrado más rápido, lo hace automáticamente, sin pedir a los usuarios que muevan un dedo. LastPass, por el contrario, dejó muchas bóvedas antiguas con configuraciones más débiles porque la actualización requería una acción del usuario que muchos nunca realizaron. La respuesta más amplia de la industria a todo esto son las claves de acceso, que intercambian secretos escritos por claves criptográficas vinculadas al dispositivo que no pueden ser rociadas o suplantadas de la misma manera.
El primer aviso de Dashlane omitió detalles importantes y dejó a los usuarios sin saber cuánto peligro enfrentaban. El consejo más claro ahora: los usuarios afectados deben cambiar tanto su contraseña maestra como el contenido de cualquier bóveda recuperada de inmediato, sólo para reducir la ya pequeña posibilidad de que un atacante se abra paso. Todos los demás pueden quedarse tranquilos.
Escrito por Vytautas Valinskas
