Cómo extraer contraseñas guardadas de Chrome - sin conocer la contraseña de la cuenta del PC
Esta es la tercera parte de la serie sobre piratería de contraseñas de Chrome.
En el artículo anterior, confirmamos que si alguien conoce la contraseña de la cuenta del PC,
las contraseñas guardadas pueden extraerse fácilmente.
En este artículo, descubriremos cómo extraer todas las contraseñas guardadas en Chrome
incluso sin conocer la contraseña de la cuenta del PC.
Este ataque no es un ataque remoto, sino un ataque local (Local Attack) realizado por alguien cercano.
Otra vulnerabilidad del autocompletado de contraseñas de Chrome
La función de autocompletado de contraseñas del navegador Chrome
es una funcionalidad práctica que reduce las molestias del inicio de sesión.
Sin embargo, si se examina cuidadosamente la estructura de esta función,
incluso sin conocer la contraseña de la cuenta del PC,
existe una vulnerabilidad adicional que permite exponer las contraseñas
mientras la pantalla esté encendida.
Este artículo explica cómo incluso una persona que no conoce la contraseña de la cuenta del PC,
si puede sentarse brevemente frente a un PC dejado sin supervisión,
puede recuperar las contraseñas guardadas en Chrome.
Comencemos examinando las situaciones que pueden producirse en un entorno de uso cotidiano.
Los peligros del ataque local (Local Attack)
Generalmente intentamos bloquear la pantalla cuando salimos de nuestro puesto.
Pero durante un trabajo ocupado, un momento para ir a buscar un café,
o un corto instante para responder a una llamada telefónica,
olvidar bloquear la pantalla puede ocurrirle a cualquiera.
La función de bloqueo automático de Windows
también está generalmente configurada con un tiempo generoso de 5 o 10 minutos.
Pero el ataque local (Local Attack)
explota precisamente estos cortos instantes.
Si la pantalla del PC está encendida y el navegador abierto,
el atacante puede recuperar las contraseñas sin ninguna información adicional.
Estructura de las contraseñas de autocompletado
Los campos de contraseña rellenados por el autocompletado
aparecen enmascarados en la pantalla en forma de ●●●●,
pero dentro del navegador, la contraseña ya existe en texto plano.
El elemento HTML <input type="password">
solo “enmascara visualmente” la contraseña,
el valor real se almacena tal cual en el atributo value del elemento DOM.
Por lo tanto, este valor puede leerse directamente
mediante las herramientas de desarrollo o scripts.
Esta estructura en sí misma es el elemento clave que hace posible el ataque local.
Método 1: Uso de las herramientas de desarrollo
Este método utiliza las herramientas de desarrollo web (Developer Tools)
para consultar directamente la contraseña rellenada automáticamente.
Incluso sin conocer JavaScript, puedes seguir estos pasos.
- Accede a una página de inicio de sesión donde la contraseña ha sido rellenada automáticamente.
- Verifica que el campo de contraseña esté rellenado en forma de ●●●●.
- Haz clic derecho en el campo de entrada de contraseña.
- Selecciona el menú
Inspeccionar (Inspect). - Las herramientas de desarrollo se abren y el código HTML correspondiente se resalta.
- Verifica el elemento
<input type="password" ...>. - Anota el valor
idoname. - Haz clic en la pestaña Console en la parte superior de las herramientas de desarrollo.
- Ingresa el siguiente comando.
※ Reemplaza la parte ‘password’ por el ID real que acabas de verificar.console.log(document.getElementById('password').value); - Presiona Enter y la contraseña se muestra tal cual.
Puede parecer largo, pero una vez que lo has hecho, el proceso toma menos de 30 segundos.
Método 2: Uso de Firefox
Este método utiliza la función “Importar datos de otro navegador” de Firefox.
Como es una función básica de Firefox, es muy fácil de seguir.
- Descarga e instala Firefox.
- En el primer lanzamiento, aparece la pantalla “Importar datos de otro navegador”.
- Selecciona Chrome.
- Marca la información de inicio de sesión (Passwords) entre los elementos a importar.
- Haz clic en “Siguiente” y las contraseñas de Chrome se transfieren a Firefox.
- Abre las contraseñas (about:logins) en el menú de Firefox.
- Los usuarios y contraseñas de todos los sitios se muestran en texto plano.
- Seleccionando “Exportar contraseñas (Export)”,
puedes guardar todas las contraseñas en un archivo CSV.
Lo particular es que Firefox no solicita la contraseña de la cuenta del PC para consultar las contraseñas guardadas.
Además, las contraseñas guardadas en Chrome pueden transferirse fácilmente a Firefox
usando la función de importación de datos proporcionada por Firefox.
Riesgo estructural creado por la función de comodidad
Los dos métodos anteriores
no utilizan absolutamente ninguna técnica o herramienta de piratería profesional.
Es una situación absurda, pero usando Firefox, se pueden consultar todas las contraseñas guardadas en Chrome.
Sin embargo, existe la condición previa de que la pantalla del PC debe estar abierta.
Entonces, si alguien a tu alrededor realmente tiene la intención de robar las contraseñas de Chrome,
esa persona aprovechará el momento en que sales brevemente de tu puesto.
En un instante durante tu corta ausencia, Firefox puede instalarse y todas las contraseñas de Chrome pueden exponerse.
Un corto momento en que no bloqueas la pantalla puede conducir a una toma de control de cuenta,
y esto puede ocurrir fácilmente en entornos como PCs compartidos, PCs de oficina o PCs familiares.
La función de autocompletado es solo una funcionalidad de comodidad,
no está diseñada para proporcionar seguridad sólida. Debemos comprenderlo claramente.
Entonces, ¿qué hacer?
No se puede renunciar a la función de autocompletado de contraseñas.
En el próximo artículo, explicaremos en detalle
una herramienta de gestión de contraseñas dedicada (KeePassXC)
que permite evitar estos riesgos y gestionar las contraseñas de forma segura.
Lista de la serie: