Cómo extraer contraseñas guardadas de Chrome - cuando conoces la contraseña de la cuenta del PC

1173palabras ·6min
https://es.andytips.com/security/chrome-password-extraction-with-pc-password/
Índice

Esta es la segunda parte de la serie sobre piratería de contraseñas de Chrome.

La función de autocompletado de contraseñas del navegador Chrome es muy conveniente,
pero puede exponerse sorprendentemente fácil.

Si alguien conoce la contraseña de tu cuenta del PC, es como si compartieras todas tus contraseñas de Chrome.
Este ataque no es un ataque remoto, sino un ataque local (Local Attack) realizado por alguien cercano.

Vulnerabilidades del autocompletado de contraseñas de Chrome

La función de autocompletado de Chrome reduce considerablemente las molestias del inicio de sesión.
Sin embargo, si se examina cuidadosamente la estructura de esta función, presenta vulnerabilidades significativas desde el punto de vista de la seguridad.

Este artículo explica cuando alguien conoce la contraseña de la cuenta del PC,
qué tan fácil es consultar las contraseñas guardadas en Chrome
y qué tan rápido pueden ser extraídas al exterior.

Para comprender qué tan peligrosa puede ser la función de autocompletado de Chrome,
examinemos primero los métodos básicos de manipulación, paso a paso.

La importancia de la contraseña de la cuenta del PC

Chrome protege las contraseñas guardadas solicitando la contraseña de la cuenta de Windows
cuando deseas ver una contraseña en texto plano.
A primera vista, parece haber un paso de autenticación adicional, pero en realidad, esta estructura depende completamente de la contraseña de la cuenta del PC.

Es decir, cualquiera que conozca la contraseña de la cuenta del PC
puede consultar en texto plano todas las contraseñas guardadas en Chrome sin herramienta de piratería ni habilidad técnica.

Si compartes la contraseña de cuenta entre miembros de la familia en casa,
o si ocasionalmente das la contraseña de tu PC a otro empleado en el trabajo,
debes considerar que todas las contraseñas guardadas en Chrome pueden exponerse.

Método 1: Consultar contraseñas individualmente

Así es como consultar en texto plano las contraseñas guardadas en Chrome.
Es muy simple, cualquiera puede hacerlo.

  1. En Chrome, haz clic en los tres puntos (icono Más) en la esquina superior derecha.
  2. Cuando se abra el menú, haz clic en Configuración.
  3. En la configuración, mira el menú de la izquierda y verás Autocompletar y contraseñas o Autocompletar.
    El nombre puede variar ligeramente según la versión de Chrome, selecciona ese elemento.
  4. Haz clic en el menú Gestor de contraseñas de Google o Contraseñas.
    Se muestran todos los sitios que has guardado hasta ahora.
  5. Encuentra el sitio que deseas verificar en la lista.
    La dirección del dominio y el usuario se muestran juntos.
  6. Haz clic en ese elemento para abrir la pantalla de información detallada.
    Allí verás la dirección del sitio, el nombre de usuario y el campo de contraseña.
  7. Haz clic en el icono de ojo a la derecha de la contraseña.
    En este punto, la contraseña aún está oculta por asteriscos.
  8. Windows muestra una ventana solicitando la contraseña de la cuenta del PC.
    Entonces ingresa la contraseña de la cuenta del PC.
  9. Una vez completada la entrada de la contraseña,
    la contraseña que estaba oculta por asteriscos se muestra en texto plano.

Método 2: Extraer todas las contraseñas de una sola vez

Chrome ofrece una función para exportar todas las contraseñas guardadas en un archivo CSV para comodidad de los usuarios.
Gracias a esta función, decenas o cientos de contraseñas pueden extraerse en solo unos segundos.

Y si este archivo se copia en una memoria USB o se transmite en línea,
después de copiarlo discretamente, se pueden examinar todas las contraseñas tranquilamente en otro lugar.
Por eso, si alguien conoce la contraseña de la cuenta del PC, las contraseñas pueden exponerse en cualquier momento.

Veamos ahora cómo extraer todas las contraseñas.

  1. Accede a la pantalla de gestión de contraseñas en la configuración de Chrome de la siguiente manera:
    ConfiguraciónAutocompletar y contraseñasGestor de contraseñas de Google
  2. En la pantalla de la lista de contraseñas,
    haz clic en el icono de engranaje (icono de configuración) en la esquina superior derecha.
  3. En el menú de configuración,
    selecciona la opción Exportar contraseñas o Export passwords.
  4. Puede mostrarse un mensaje de advertencia una vez.
    Es solo una indicación de que esta función de exportación concierne información sensible.
    Elige continuar.
  5. Windows muestra nuevamente
    una ventana solicitando la contraseña de la cuenta del PC.
    Ingresa la contraseña de la cuenta del PC.
  6. Una vez completada la entrada,
    se descarga un archivo CSV con un nombre como passwords.csv.

En este archivo CSV, la dirección de cada sitio, el usuario y la contraseña están todos guardados en texto plano.
Si lo abres con Excel o el Bloc de notas, toda la información de cuenta aparece claramente organizada.

Simplemente copiando este archivo en una memoria USB o enviándolo por correo electrónico,
todas las contraseñas guardadas en el PC pueden llevarse al exterior.

Los límites de la función de comodidad de Chrome

El proceso de verificación de contraseñas de Chrome no requiere ninguna herramienta de piratería profesional.
Con solo las funciones básicas proporcionadas por Chrome, realizando una manipulación a nivel de exploración de configuración por un usuario ordinario,
todas las contraseñas guardadas pueden consultarse en texto plano.

También es una función básica de Chrome y parece tan fácil que algunos podrían preguntarse si esto es realmente piratería.
Pero en realidad, la piratería y la fuga de información a menudo provienen de las personas más cercanas.

En cualquier caso, si alguien conoce la contraseña de la cuenta del PC, toda la información de cuenta guardada en Chrome puede exponerse de una sola vez,
y desde el punto de vista del daño real, no es diferente de una toma de control de cuenta clásica.

En un entorno doméstico donde se comparten contraseñas de cuenta o en un entorno de oficina donde el acceso físico es fácil,
se puede considerar que la función de guardado de contraseñas de Chrome no juega realmente un papel de protección.

Es una función muy útil creada para la comodidad del inicio de sesión,
pero debemos comprender claramente que no ofrece protección suficiente desde el punto de vista de la seguridad.

En el próximo artículo, iremos aún más lejos para mostrarte cómo,
incluso sin conocer la contraseña de la cuenta del PC,
las contraseñas pueden exponerse cuando se cumplen ciertas condiciones.

Lista de la serie:

💡 Artículo relacionado

¿Es realmente seguro el autocompletado de contraseñas de Chrome? Los riesgos reales de las contraseñas guardadas

La función de autocompletado de Chrome es conveniente, pero las contraseñas guardadas pueden exponerse más fácilmente de lo que se piensa.
Este artículo explica la estructura del autocompletado y sus vulnerabilidades de seguridad.

💡 Artículo relacionado

Cómo extraer contraseñas guardadas de Chrome - sin conocer la contraseña de la cuenta del PC

Si la pantalla no está bloqueada, las contraseñas de Chrome pueden exponerse incluso sin conocer la contraseña del PC.
Se explican dos métodos: mediante las herramientas de desarrollo y la función de importación de Firefox.

💡 Artículo relacionado

Gestión de contraseñas con KeePassXC - un método mucho más seguro

Usando KeePassXC, puedes usar el autocompletado de contraseñas de sitios web de manera mucho más segura.
Gestiona todas tus contraseñas de forma segura con una contraseña maestra.