La seguridad en la gestión de contraseñas empresariales vuelve a ser noticia tras el anuncio de Click Studios, desarrollador de Passwordstate, quien confirmó la publicación de una actualización de emergencia para corregir una vulnerabilidad de alta gravedad en su software. Este fallo, que permitía la omisión de autenticación bajo condiciones específicas, fue resuelto en la versión Passwordstate 9.9 (compilación 9972), liberada el 28 de agosto de 2025.
Según el comunicado de la compañía australiana, el error estaba relacionado con la página principal de acceso de emergencia del producto. Un atacante con los conocimientos adecuados podía explotar una URL manipulada para bypassear los mecanismos de autenticación, obteniendo potencialmente acceso no autorizado al sistema. Aunque no se ha publicado un identificador CVE para esta vulnerabilidad, se considera un problema crítico debido al rol que desempeña Passwordstate como solución de seguridad en miles de organizaciones.
Refuerzos de seguridad adicionales contra clickjacking
Además de la corrección del bypass de autenticación, Click Studios introdujo protecciones mejoradas frente a intentos de secuestro de clics (clickjacking) en su extensión de navegador. Estos ataques consisten en engañar al usuario para que, con un solo clic en un sitio web comprometido, ejecute acciones ocultas que pueden comprometer la confidencialidad de sus datos.
El investigador de seguridad Marek Tóth había alertado recientemente sobre una técnica avanzada de clickjacking de extensiones basado en el DOM (Document Object Model), la cual afecta a múltiples complementos de navegadores, incluidos gestores de contraseñas. Según Tóth, un ataque exitoso podría permitir a un ciberdelincuente robar credenciales de inicio de sesión, datos personales, detalles financieros e incluso códigos de autenticación temporal (TOTP).
Click Studios respondió reforzando los controles de seguridad de su extensión para evitar que los usuarios de Passwordstate puedan ser víctimas de esta nueva clase de ataque en caso de acceder a sitios web maliciosos o comprometidos.
Passwordstate: un pilar de la ciberseguridad corporativa
La importancia de esta actualización no debe subestimarse. Passwordstate es una de las soluciones de administración de contraseñas más utilizadas en el ámbito empresarial, con más de 29,000 clientes activos y 370,000 profesionales de seguridad y TI que confían en ella para proteger credenciales sensibles. Su adopción abarca desde empresas Fortune 500 hasta instituciones financieras, agencias gubernamentales y corporaciones multinacionales.
El hecho de que una vulnerabilidad de autenticación haya sido descubierta en este contexto resalta la necesidad de mantener actualizados los sistemas de gestión de contraseñas y aplicar parches de seguridad de manera inmediata.
Antecedentes de vulnerabilidades en Passwordstate
No es la primera vez que Passwordstate se enfrenta a problemas de seguridad relevantes. En abril de 2021, Click Studios sufrió una violación de la cadena de suministro que comprometió el mecanismo de actualización del software. Los atacantes aprovecharon la oportunidad para distribuir malware diseñado para recolectar información sensible de los sistemas afectados, lo que generó gran preocupación en la industria.
Posteriormente, en diciembre de 2022, la compañía resolvió múltiples vulnerabilidades, entre ellas la CVE-2022-3875 (con una puntuación CVSS de 9.1). Esta falla permitía a un atacante remoto no autenticado explotar una omisión de autenticación en la API de Passwordstate, logrando acceder a contraseñas en texto plano de los usuarios.
Estos antecedentes, sumados a la vulnerabilidad corregida en agosto de 2025, muestran que los gestores de contraseñas, aunque esenciales para la seguridad digital, también representan un punto crítico de ataque si no se mantienen reforzados y actualizados.
Recomendaciones para los usuarios de Passwordstate
Ante este nuevo hallazgo, los expertos en ciberseguridad recomiendan a los administradores de Passwordstate:
-
Actualizar inmediatamente a la versión 9.9 (compilación 9972) o posterior.
-
Revisar los registros de acceso en busca de comportamientos anómalos que puedan sugerir intentos de explotación de la vulnerabilidad.
-
Desplegar políticas de seguridad adicionales, como segmentación de red y controles de acceso basados en roles.
-
Configurar alertas de seguridad para detectar posibles intentos de clickjacking o explotación del DOM en navegadores corporativos.
-
Establecer un plan de respuesta a incidentes que incluya la rotación de credenciales en caso de detectar actividad sospechosa.
En conclusión, la rápida reacción de Click Studios para corregir la vulnerabilidad de autenticación en Passwordstate refleja la creciente presión sobre los proveedores de soluciones de seguridad digital. En un entorno donde las credenciales son el objetivo número uno de los ciberdelincuentes, garantizar la integridad de los gestores de contraseñas es fundamental.
Los administradores y profesionales de TI deben considerar esta actualización como prioritaria, ya que la omisión de autenticación representa una amenaza directa a la confidencialidad e integridad de los sistemas corporativos. Además, las medidas adicionales contra ataques de clickjacking reafirman la necesidad de proteger no solo las aplicaciones principales, sino también las extensiones y complementos asociados.
En definitiva, la lección que deja este incidente es clara: la seguridad de las contraseñas no depende únicamente de la robustez de las claves utilizadas, sino también de la fortaleza del software que las protege.
Fuente: The Hacker News
