Vulnerabilidades en gestores de nube cuestionan el cifrado "zero-knowledge"

Publicado el 17/02/2026, 13:32:23 | Autor: 3dpoder

Vulnerabilidades en gestores de nube cuestionan el cifrado zero-knowledge 🔓

Un estudio del ETH Zurich revela fallos de seguridad en gestores de contraseñas en la nube como Bitwarden, LastPass y Dashlane. Los investigadores demostraron que un servidor comprometido puede eludir las protecciones y acceder o modificar las credenciales almacenadas. Esto contradice la promesa de cifrado sin conocimiento, donde ni el proveedor debería poder ver los datos.

Un servidor comprometido accede a un gestor de contraseñas cifrado, burlando la protección zero-knowledge prometida.

El eslabón débil: la arquitectura cliente-servidor y el protocolo HTTP 🕵️‍♂️

La investigación identificó que el problema reside en la implementación del protocolo entre la aplicación cliente y el servidor. Al simular un servidor malicioso, pudieron interceptar y manipular las respuestas HTTP durante el proceso de sincronización. Esto permitió inyectar código JavaScript malicioso en el cliente, el cual, una vez ejecutado, extrae la contraseña maestra o el vault descifrado, anulando la protección del cifrado de extremo a extremo.

Tu contraseña maestra les envía saludos (y el resto de claves) 👋

Así que confiaste tus secretos digitales a un sistema que prometía ser una fortaleza inexpugnable. Resulta que la puerta principal tenía una cerradura compleja, pero la ventana del lado estaba abierta de par en par. Es un recordatorio de que en seguridad, la cadena es tan fuerte como su eslabón más... creativo. Ahora tu clave del banco y la de Netflix están de viaje inesperado por un servidor suizo.