La verdad sobre el fallo de seguridad de 1Password

Actualidad iPad

4 minutos

1Password

Estos días habréis seguro leído artículos sobre un grave fallo de seguridad de 1Password, una de las mejores aplicaciones que existen para iOS y OS X y una de nuestras favoritas por el buen trabajo que sus desarrolladores hacen con ella, con actualizaciones constantes sin coste para sus usuarios. Personalmente es en la aplicación en la que confío para almacenar mis contraseñas, datos bancarios, tarjetas de crédito, etc. desde hace años, y me he preocupado por tanto de informarme acerca de este fallo de seguridad porque me interesaba y mucho. Como suele ocurrir en estos casos, el alarmismo y el sensacionalismo inunda la web (no nos olvidemos de que es lo que más vende) así que voy a intentar aclarar qué es lo que ha ocurrido y qué consecuencias puede tener.

El problema

Todo se basa en un informe publicado por un ingeniero de Microsoft, Dale Myers, en el que asegura que 1Password guarda datos sin cifrar en su sistema de cifrado AgileKeychain. Estos datos sin cifrar son en concreto las direcciones web de aquellas páginas que tenemos guardadas en este servicio, y los títulos de las mismas, pero nunca nuestros datos de acceso en sí, que sí que permanecen perfectamente cifrados. ¿Por qué guardar estos datos sin cifrar? Básicamente porque cifrarlos en aquel momento (estamos hablando de 2008) suponía problemas para algunos dispositivos a la hora de acceder a esos datos y provocaba problemas de rendimiento y de batería.

Hasta aquí uno puede pensar, «¿cuál es el problema?». Muchos usuarios utilizan 1PasswordAnywhere, una función que utiliza Dropbox para almacenar tus claves de 1Password y te permite acceder a ellas desde cualquier navegador sin necesidad de tener la aplicación instalada en el dispositivo. Aquí precisamente es donde radica el problema principal: Google indexa este contenido al almacenarse en un archivo html, y alguien con los conocimientos necesarios puede tener acceso a este archivo y conocer esos datos sin encriptar. Insisto de nuevo, nunca tus datos de acceso, sólo direcciones webs y nombres de las webs que tengas almacenadas en 1Password, nunca tus credenciales.

1Password

La solución

Los propios desarrolladores de 1Password ya solucionaron este problema allá por 2012 con una nueva forma de guardar sus datos llamada OPVault. Este nuevo sistema encripta todos los datos, incluidos los que no estaban encriptados con AgileKeychain. ¿Entonces cuál es el problema? Que tuvieron que decidir si usar OPVault como sistema único de encriptación, o seguir usando AgileKeychain como alternativa. Y optaron por esta segunda opción.

¿Por qué mantener un sistema menos seguro? OPVault no planteaba ningún problema con los usuarios de iOS y Mac OS X, pero sí con los usuarios de Windows, Android y aquellos que optaban por Dropbox como sistema para sincronizar datos. Las versiones anteriores de 1Password de estos últimos no eran compatibles con OPVault, por lo que tuvieron que decidir qué hacer: dejar atrás esas versiones antiguas o seguir dando compatibilidad a todo el mundo. Y optaron por esta segunda alternativa, manteniendo la opción de usar AgileKeychain.

La magnitud real del problema

Lo más importante es insistir en cuáles son los datos a los que tendría acceso alguien que consiguiera llegar a ese archivo html y leer tus datos (lo cual no es fácil): direcciones web y títulos de las webs. Sólo eso. Sí, es verdad que nadie tiene por qué conocer esos datos, y que se se trata de un fallo que se debe corregir, pero no hay que temer por tus datos de acceso a las webs ni tus números de tarjetas de crédito, lo cual es un alivio.

Una vez esto ha quedado claro, también hay que señalar quiénes son los que tienen este problema: los que aún utilizan AgileKeychain. Aquellos usuarios que ya usan OPVault no tienen tampoco el más mínimo problema. ¿Quiénes son los que usan OPVault? Aquellos que usan 1Password para iOS y OS X con la opción de sincronización mediante iCloud activada (como es mi caso). Si éste es también tu caso, entonces no hay ningún problema contigo. Si eres usuario de 1Password en Windows, Android o usas Dropbox como sistema de sincronización entonces tienes que cambiar a OPVault como sistema de almacenamiento, lo cual lo tienes perfectamente explicado en el blog de Agilebits, desarrolladores de 1Password (al final del artículo).


iPad 10 con teclado Magic Keyboard
Te interesa:
Diferencias entre iPad y iPad Air
Síguenos en Google News

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: AB Internet Networks 2008 SL
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   Feli dijo
    hace 9 años

    Gran artículo Luís, así de riguroso debería ser el periodismo y más cuando se habla de seguridad.

    Responder a Feli