La autenticación sin contraseñas es un método de seguridad que permite a un usuario obtener acceso a un sistema sin necesidad de introducir una contraseña tradicional.
La dedicación de Keeper Security a la protección de los datos de los usuarios está presente en todo lo que hacemos. Keeper® posee las certificaciones SOC 2 e ISO 27001 más antiguas del sector. Keeper cumple con el RGPD, la CCPA y está autorizado por FedRAMP y StateRAMP. Nuestro compromiso con la seguridad de los datos de nuestros clientes es la razón por la que Keeper cuenta con protecciones proactivas para impedir que nuestros clientes rellenen automáticamente credenciales en aplicaciones o sitios web no confiables.
Un informe reciente de un investigador de seguridad planteó preocupaciones sobre una vulnerabilidad de Android llamada AutoSpill que podría permitir que un gestor de contraseñas rellene las credenciales de una aplicación no confiable. Keeper trabaja en estrecha colaboración con la comunidad de investigadores de seguridad a través de nuestro bug bounty y Vulnerability Disclosure Program (VDP) gestionado por Bugcrowd. A través de este programa, Keeper trabaja con hackers que actúan de buena fe para identificar y resolver cualquier problema en nuestras soluciones de seguridad cibernética y ayudar a mejorar la seguridad cibernética colectiva del sector en su totalidad.
Keeper recibió inicialmente un informe del investigador el 31 de mayo de 2022 y solicitó un video para demostrar el problema denunciado. Basándonos en nuestro análisis, determinamos que el investigador había instalado primero una aplicación maliciosa y, posteriormente, aceptamos la advertencia de Keeper para forzar la associación de la aplicación maliciosa a un registro de contraseñas. Las protecciones integradas de Keeper lo protegen contra este tipo de escenario. En la plataforma Android, Keeper le pregunta al usuario cuando intenta autocompletar las credenciales en una aplicación o sitio web. Se le pide al usuario que confirme la associación de la aplicación al registro de contraseñas de Keeper antes de completar cualquier información.
A continuación se puede ver una captura de pantalla que demuestra la protección de Keeper contra el escenario, como se describió anteriormente:
La associación de un registro de Keeper a una aplicación maliciosa solo podría ocurrir si el usuario sobrepasa la configuración de seguridad importante en su dispositivo para descargar una aplicación maliciosa o descarga una aplicación peligrosa fuera de la App Store oficial. Posteriormente, el usuario tendría que autorizar explícitamente la associación del registro de Keeper con la aplicación maliciosa para autocompletar las credenciales aprobadas. El 29 de junio de 2022, informamos al investigador de las protecciones de seguridad de software de Keeper y, además, le recomendamos que enviara su informe a Google, ya que sus preocupaciones estaban específicamente relacionadas con el componente WebView de Android.
Existen unas sencillas buenas prácticas que los usuarios de cualquier gestor de contraseñas, incluido Keeper, deberían aplicar siempre para protegerse:
- Solo descargue aplicaciones a través de sitios de confianza como Google Play Store. Estas aplicaciones pasan por un proceso de envío y aprobación, que protege a los usuarios contra la instalación involuntaria de una aplicación de software malicioso.
- Asocie los registros de su bovéda de contraseñas únicamente con aplicaciones de confianza. No autorice la asociación o el autocompletar sus credenciales con aplicaciones o sitios no confiables.
Keeper proporciona una gran cantidad de recursos educativos para ayudar a todos a mejorar su protección de seguridad cibernética y seguir las prácticas recomendadas. Siempre recomendamos ser cauteloso y estar atento a las aplicaciones que instala.
Obtenga más información sobre cómo mantener su teléfono inteligente seguro.