Una de las mejores bazas de 1Password en macOS, que podríamos considerar como el gestor de contraseñas más popular en la plataforma (y en iOS), es que es capaz de poder iniciar sesión automáticamente en cualquier web cuya contraseña haya sido registrada por la aplicación. Nos ahorra muchísimo trabajo mecánico a lo largo del tiempo.
Sin embargo, algo ha cambiado. Para que 1Password pueda hacer ese inicio de sesión automático debe de ser capaz de poder enviar una "pulsación de INTRO" virtual a macOS. Y macOS Mojave, por razones de seguridad, ha deshabilitado el componente del sistema que permitía hacer justo eso a 1Password.
Iniciar sesión automáticamente puede ser vulnerable al phishing
Los mismos responsables de 1Password son los que han confirmado este cambio a través de su blog oficial. En él, aún así, afirman que el cambio es por el bien de todos ya que la posibilidad de automatizar ese INTRO para iniciar sesión automáticamente podía dar problemas.
Un ejemplo: que en vez de iniciar sesión automáticamente en la web de nuestro banco, lo estuviésemos haciendo en una web de phishing calcada a la de nuestro banco y que ni siquiera 1Password se haya dado cuenta del engaño. Le estaríamos dando nuestras credenciales automáticamente (sin poder evitarlo) a una persona no autorizada. Y aún así, hay expertos en seguridad que afirman que esas webs maliciosas podrían leer las credenciales incluso sin que se envíen:
“When 1Password automatically submits a password, it has no way of knowing whether it’s filling a password into a legitimate password field or something created by a nefarious website” — there’s no real need for a submit, a malicious site can read input value attribute https://t.co/6I3Apaf3HN
— Tal Bereznitskey (@ketacode) 12 de octubre de 2018
Mal asunto, ¿verdad? Como siempre, hay que recordar a todo el mundo que por muchas herramientas de seguridad que nos instalemos nuestra propia intución y capacidad de detectar ataques es la última defensa que siempre tendremos.
Ver 6 comentarios