Image by Volodymyr Kondriianenko, from Unsplash
Los Gestores de Contraseñas Filtran Datos en Nuevo Ataque de Clickjacking
Tiempo de lectura: 3 min.
Actualizado por última vez: Aug 21, 2025
-
![Kiara Fabbri]()
-
![El equipo de localización y traducción]()
Traducido por El equipo de localización y traducción Servicios de localización y traducción
Un nuevo estudio advierte que millones de usuarios de gestores de contraseñas podrían ser vulnerables a un peligroso exploit del navegador llamado “Clickjacking basado en DOM”.
¿Con prisa? Aquí están los datos rápidos:
- Los atacantes pueden engañar a los usuarios para que rellenen automáticamente los datos con un solo clic falso.
- Los datos filtrados incluyen tarjetas de crédito, credenciales de inicio de sesión e incluso códigos de dos factores.
- 32.7 millones de usuarios permanecen expuestos ya que algunos proveedores no han corregido las fallas.
La investigadora detrás de los hallazgos explicó: “El clickjacking sigue siendo una amenaza de seguridad, pero es necesario cambiar de las aplicaciones web a las extensiones de navegador, que son más populares hoy en día (administradores de contraseñas, carteras de criptomonedas y otros).”
El ataque funciona engañando a los usuarios para que hagan clic en elementos falsos, incluyendo banners de cookies y ventanas emergentes de captcha, mientras que un script invisible activa secretamente la función de autocompletar del gestor de contraseñas. Los investigadores explican que a los atacantes solo les hace falta un clic para robar información sensible.
“Un solo clic en cualquier parte de un sitio web controlado por el atacante podría permitir a los atacantes robar los datos de los usuarios (detalles de tarjetas de crédito, datos personales, credenciales de inicio de sesión incluyendo TOTP)”, indica el informe.
La investigadora probó 11 populares gestores de contraseñas, incluyendo 1Password, Bitwarden, Dashlane, Keeper, LastPass e iCloud Passwords. Los resultados fueron alarmantes: “Todos eran vulnerables al ‘Clickjacking basado en DOM’. Decenas de millones de usuarios podrían estar en riesgo (~40 millones de instalaciones activas).”
Las pruebas revelaron que seis de los nueve gestores de contraseñas expusieron los detalles de tarjetas de crédito, mientras que ocho de cada diez filtraron información personal. Además, diez de once permitieron a los atacantes robar las credenciales de inicio de sesión almacenadas. En algunos casos, incluso los códigos de autenticación de dos factores y las claves de paso podrían verse comprometidos.
A pesar de que los proveedores fueron alertados en abril de 2025, los investigadores señalan que algunos de ellos, como Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass y LogMeOnce, aún no han solucionado las fallas. Esto es particularmente preocupante ya que está dejando a un estimado de 32.7 millones de usuarios expuestos a este ataque.
Los investigadores concluyeron: “La técnica descrita es general y solo la probé en 11 administradores de contraseñas. Otras extensiones que manipulan el DOM probablemente sean vulnerables (administradores de contraseñas, billeteras criptográficas, notas, etc.)”.
Artículo anterior
Artículos más recientes 
