Un nuevo estudio ha encendido las alarmas en el mundo de la ciberseguridad: varias soluciones de gestión de contraseñas en la nube, entre ellas Bitwarden, Dashlane y LastPass, presentan debilidades que podrían permitir la recuperación indebida de contraseñas almacenadas bajo ciertos escenarios. La investigación, realizada por expertos de la academia europea, y difundida por The Hacker News, describe hasta 25 técnicas de ataque distintas que, en casos específicos, podrían llegar a comprometer bóvedas completas de organizaciones.

Un gestor de contraseñas es una herramienta que almacena y organiza de forma cifrada las credenciales de acceso a servicios digitales, permitiendo al usuario “recordarlas” con una única contraseña maestra. Ofrecen diversas funciones que facilitan el uso de claves únicas y complejas sin tener que memorizarlas.

En el centro del análisis está la promesa de seguridad que estos servicios hacen a sus usuarios, el llamado modelo zero-knowledge (“conocimiento cero”). En términos simples, esto significa que el proveedor no debería poder ver ni acceder a las contraseñas del usuario, ya que estas se almacenan cifradas y solo el propietario posee la clave. El estudio no rompe el cifrado en sí, pero sí demuestra que determinadas decisiones de diseño y mecanismos de recuperación de cuentas podrían ser aprovechados por un servidor malicioso o comprometido para reconstruir secretos protegidos.

Los investigadores identificaron 12 ataques en Bitwarden, 7 en LastPass y 6 en Dashlane, además de vulnerabilidades conceptuales en 1Password. Los vectores se agrupan en cuatro categorías: problemas en sistemas de recuperación de cuenta, debilidades en el cifrado por elementos individuales del vault, riesgos en funciones de compartición y fallos heredados por compatibilidad con versiones antiguas. En conjunto, estas plataformas protegen más de 60 millones de usuarios y unas 125.000 empresas, lo que da dimensión al impacto potencial.

Las compañías afectadas reaccionaron con rapidez y matices. 1Password afirmó que el estudio no revela vectores de ataque nuevos, sino limitaciones ya documentadas en su arquitectura, y destacó el uso de protocolos como Secure Remote Password (SRP) para evitar que las claves pasen por sus servidores. Por su parte, Dashlane confirmó haber corregido en noviembre de 2025 un problema que permitía degradar el modelo de cifrado a métodos heredados, lo que podía facilitar el acceso a bóvedas con contraseñas maestras débiles. Bitwarden indicó que la mayoría de los hallazgos ya están corregidos o en proceso, mientras LastPass trabaja en reforzar la integridad criptográfica entre elementos y metadatos de las bóvedas.

Es importante aclarar que no hay evidencia de explotación real de estos fallos. Y que se hayan descubierto en investigaciones académicas, antes que en ataques reales, puede ser una buena noticia.

¿Qué significa esto para usuarios y empresas?

La principal conclusión no es abandonar los gestores de contraseñas, ya que siguen siendo más seguros que reutilizar claves o almacenarlas en texto plano, sino entender sus límites. Los expertos recomiendan usar contraseñas maestras largas y únicas, activar autenticación multifactor, mantener las apps actualizadas y, en entornos corporativos, revisar políticas de recuperación y compartición.

La seguridad de un gestor de contraseñas depende tanto de su criptografía como de cómo se configura y se usa.