Connect with us

Actualidad

Un solo clic y adiós a nuestras contraseñas. Así es la vulnerabilidad que afecta las extensiones de varios gestores

Published

on


Confiamos en nuestros gestores de contraseñas como si fueran cajas fuertes digitales. Pero, según el experto Marek Tóth, basta con visitar la web equivocada y hacer clic donde no corresponde para poner en riesgo ese blindaje. La técnica que presentó en DEF CON 33 no apunta a las aplicaciones, sino a las extensiones que usamos a diario en el navegador. En sus pruebas, asegura que ese gesto puede activar un sistema de robo de información sin que el usuario lo perciba.

La investigación, hecha pública en una de las principales conferencias internacionales de seguridad informática, documenta cómo once extensiones de gestores de contraseñas podían ser manipuladas para filtrar datos. Tóth afirma que notificó el hallazgo a los fabricantes en abril de 2025 y que a mediados de agosto varias seguían sin correcciones. El estudio incluye pruebas prácticas, sitios web diseñados para demostrar el fallo y una estimación del alcance: alrededor de 40 millones de instalaciones activas potencialmente expuestas.

Cómo funciona el ataque y por qué te afecta

La técnica descrita por Tóth se basa en ocultar los elementos que las extensiones insertan en la página para que el usuario interactúe con ellos sin verlo. Con cambios mínimos de opacidad o superposición, el atacante consigue que el autocompletado se active en segundo plano. Y hay varias formas de lograrlo, desde manipular el elemento raíz de la extensión hasta alterar el cuerpo entero del sitio, además de variantes por superposición.

El escenario más delicado aparece cuando no es necesaria una web trampa, sino que basta con aprovechar una página legítima con un fallo de seguridad. En esos casos, explica, el atacante puede capturar credenciales de inicio de sesión. El riesgo aumenta porque muchos gestores rellenan datos no solo en el dominio original, sino también en subdominios, lo que amplía la superficie de ataque sin que el usuario lo note.

Según los datos publicados por Tóth y recogidos por Socket, a 19 de agosto seguían figurando como vulnerables 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass y LogMeOnce. El 20 de agosto, Socket actualizó que Bitwarden había enviado la versión 2025.8.0 con un parche, pendiente de distribución en las tiendas de extensiones. Entre los gestores que sí aplicaron medidas correctoras figuran NordPass, Dashlane, Keeper, ProtonPass y RoboForm. Eso sí, este listado puede variar en cualquier momento si otras compañías publican arreglos tras la divulgación.

Extensiones Ejemplo
Extensiones Ejemplo

Ejemplo de extensión de gestor de contraseñas para el navegador

La reacción de los fabricantes fue dispar. Socket señala que 1Password y LastPass clasificaron el fallo como “informativo”, una categoría que suele implicar ausencia de cambios inmediatos. Bitwarden, Enpass y Apple (iCloud Passwords) confirmaron que trabajan en actualizaciones, mientras que LogMeOnce no respondió a los intentos de contacto. Algunas compañías admitieron la existencia del riesgo, pero lo relacionaron con vulnerabilidades externas en los sitios visitados.

Mientras algunos desarrolladores deciden cómo actuar, Tóth y el equipo de Socket coinciden en que hay medidas prácticas para reducir la exposición. Una de las más eficaces es desactivar el autocompletado manual y recurrir al copiar y pegar. También se recomienda configurar el relleno automático solo para coincidencias exactas de URL, evitando que funcione en subdominios. En navegadores basados en Chromium, puede limitarse el uso de la extensión con la opción de acceso “al hacer clic”, de modo que el usuario autorice explícitamente cada uso.

Prueba Investigador
Prueba Investigador

El investigador muestra cómo es posible superponer elementos invisibles en la página para engañar al usuario y hacerle pulsar en el gestor de contraseñas sin darse cuenta

No todo es tan inmediato como hacer clic y perderlo todo. Para que el ataque tenga éxito, la extensión debe estar desbloqueada, el navegador no haberse reiniciado y el usuario interactuar en el momento preciso. Además, el análisis se centró únicamente en once extensiones. No hay pruebas de que todas las soluciones del mercado sean vulnerables, aunque el experto advierte que el patrón puede repetirse en otros tipos de extensiones.

El punto débil está en el DOM, la estructura interna que usan las webs para organizar botones, formularios o menús. Los gestores de contraseñas insertan ahí sus elementos, y si una página maliciosa consigue moverlos, ocultarlos o forzarlos, el usuario puede terminar haciendo clic sin darse cuenta. Ese mismo riesgo se extiende a otras extensiones como carteras de criptomonedas o aplicaciones de notas.

Imágenes | Xataka con Gemini 2.5

En Xataka | Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad

ues de anuncios individuales.

Source link

Continue Reading

Actualidad

Resulta que en Francia hay una carretera que el Atlántico inunda dos veces al día. Al cruzarla, te juegas un rescate

Published

on


En la cornisa cantábrica en el periodo estival es relativamente común que el vehículo de algún turista acabe dándose algún chapuzón cuando aparcan donde no deben, pero en el Passage du Gois en Francia no existe el factor sorpresa: la carretera se hunde cuando sube la marea, algo que pasa dos veces al día. 

Habida cuenta del riesgo, cabría pensar en cerrar esa vía y usar el alternativo puente de Noirmoutier, pero aquí hay mucha gente que ha venido a jugar: en 2021 pasaron exactamente 387.823 vehículos, según datos de la Oficina de Turismo de Noirmoutier. Si eres una de esas personas que se aventura, el paisaje es ya icónico: el Tour de Francia ha empezado allí en varias ocasiones. 

Ahora hay carretera, ahora no. El Passage du Gois tiene 4,125 kilómetros de longitud y transcurre por la bahía de Bourgneuf, literalmente en pleno océano Atlántico. A un lado está la isla de Noirmoutier y la conexión con el resto del continente tiene lugar en Beauvoir-sur-Mer, cerca de Nantes. Esta infraestructura pertenece a la red D948 del departamento de Vendée. El paso o no lo determinan las mareas: según el coeficiente de la marea de ese día, la calzada queda cubierta por entre 1,30 y 4 metros de agua en cada pleamar. 

Captura De Pantalla 2026 07 03 A Las 10 27 40
Captura De Pantalla 2026 07 03 A Las 10 27 40

El Passage du Gois en Google Maps

Pasar o no pasar, he ahí la cuestión. Las recomendaciones de paso de la oficina de turismo local son como para pensárselo dos veces antes de cruzar: si el coeficiente de la marea es alto, tienes 90 minutos antes y después de la bajamar. Cuando el coeficiente es bajo, el margen se reduce tanto que se recomienda cruzar solo en el momento exacto de la bajamar. Si mides mal, te la juegas: cuatro kilómetros pueden ser fatales. 

La buena noticia es que desde el siglo XIX hay nueve balizas de seguridad donde puedes dejar el coche y esperar a que baje la marea o lleguen los servicios de emergencia. Spoiler: todos los años hay coches que acaban mal. Todo está señalizado, pero las autoridades se han encontrado con otro enemigo inesperado: el GPS, que no indica las mareas bajas ni las condiciones meteorológicas. Mucho cuidado si eres de esas personas que sigue lo que dice el Google Maps de turno a rajatabla. 


Noirmoutier
Noirmoutier

Los movimientos de las mareas en el Passage du Gois. Service Hydrographique et Océanographique de la Marine

Por qué hacer una carretera ahí. Respuesta corta: porque la puso la naturaleza. Respuesta no tan corto: el origen del Passage du Gois es geológico: se formó por la convergencia de dos corrientes opuestas, una del noroeste influenciada por el estuario del Loira y otra del sur influenciada por el Atlántico. Ambas se encuentran en la isla y allí se realentizan, produciendo un fenómeno conocido como wantij, es decir, la deposición de partículas en ese punto de colisión de las corrientes, lo que provoca que el lecho marino se eleve hasta formar ese dorso natural sobre el que se plantó la calzada. 

Construirla no fue fácil ni rápido. La pavimentación de la calzada duró cinco años, de 1935 a 1939, lo que suena a auténtica barbaridad pese a que tiene casi un siglo. La razón está en que las obras debían llevarse a cabo durante la bajamar, lo que limitó enormemente el tiempo de trabajo diario a dos franjas diarias en un periodo de unas dos horas. A partir de entonces, la vía ya era transitable para los vehículos sobre sus ya características losas de cemento. Desde entonces, varias secciones han sido objeto de diferentes pruebas de pavimentación que nunca han llegado a buen puerto.

Un futuro que pinta muy azul negro. La carretera inundable del Passage du Gois no es ni la primera ni la más larga, pero sí es una de las primeras candidatas a desaparecer en un futuro inmediato. Considerando las proyecciones de subidas del nivel del mar previstas por el IPCC del Grupo Intergubernamental de expertos sobre el cambio climático, será de entre 0,38 y 0,77 metros para 2100, con diferentes escenarios de emisiones a partir de 2050. Esto implica que calzadas como esta verán reducida su ventana operativa segura de forma progresiva, haciéndola cada vez más inviable y peligrosa. 

En Xataka | “Tenemos seis kilómetros que se han derretido por el calor”: ante temperaturas extremas, Francia necesita españolizar sus carreteras

En Xataka | Si ya temíamos por el estado de nuestras carreteras, tenemos un motivo más para preocuparnos: el precio del asfalto está disparado

Portada | Pinpin y Florian Pépellin 

ues de anuncios individuales.

Source link

Continue Reading

Actualidad

“Minions y Monstruos” supera a “Toy Story 5”: conquista la taquilla internacional con 160 mdd en su estreno

Published

on


Escrito en ENTRETENIMIENTO el

AP.- “Minions y Monstruos”, la séptima película de la franquicia “Mi Villano Favorito”, recaudó 36.4 millones de dólares en la taquilla del fin de semana festivo para ubicarse al tope en los cines en Norteamérica.

Por su parte, “Toy Story 5”, que la semana pasada superó a “Supergirl”, quedó de segunda con una cifra estimada de 31 millones de dólares.

La nueva película de los Minions, en la que los malvados secuaces de “Gru” buscan la gloria cinematográfica en la Edad de Oro de Hollywood, se estrenó el miércoles y recaudó un estimado de 61.4 millones de dólares en sus primeros cinco días, según cálculos del estudio.

Los Minions son una franquicia popular a nivel mundial y “Minions y Monstruos” ha recaudado 160 millones de dólares en todo el mundo en su semana de estreno.

El público que buscaba opciones patrióticas en medio de la celebración del 250 aniversario de Estados Unidos —4 de julio— tuvo “Young Washington” para considerar; se estrenó en el tercer puesto con casi 21 millones de dólares.

La película se centra en el servicio del expresidente George Washington durante la guerra Franco-India.

Eso dejó a “Supergirl” en cuarto lugar con apenas menos de 10 millones de dólares en taquilla, una fuerte caída del 74% respecto a su decepcionante fin de semana de estreno.

La taquilla del fin de semana bajó interanualmente alrededor de un 24%, según cifras recopiladas por Rentrak, aunque este verano supera en casi un 12% el verano del año pasado. Esto se debe en parte a “Obsession” y “Backrooms”, que ocuparon el sexto y el séptimo puesto, por detrás de “El Día de la Revelación”, de Steven Spielberg.

ues de anuncios individuales.

Source link

Continue Reading

Actualidad

En 1993, nadie encontraba al supuesto ninja rojo de ‘Mortal Kombat’. Había una razón: todavía no existía

Published

on


Hubo un tiempo en el que los secretos de los videojuegos llegaban en máquinas arcade, revistas y conversaciones de quien juraba haber visto algo imposible. En torno al primer ‘Mortal Kombat’, ese algo imposible tenía forma de ninja rojo y un nombre extraño: Ermac. El juego ya había demostrado que podía esconder personajes, así que muchos jugadores siguieron mirando la pantalla con la sospecha de que allí había otro luchador esperando a ser encontrado.

La pista que alimentó aquella búsqueda no nació como personaje, sino como una entrada técnica dentro del propio juego. Ed Boon, cocreador de ‘Mortal Kombat’, explicó que durante el desarrollo del primer juego, el software tenía secciones de código a las que, en teoría, nunca debía llegar. Si eso ocurría, el sistema incrementaba un contador de errores que el equipo podía revisar en una pantalla interna de auditoría. Para abreviar ese registro, Boon escribió una macro en ensamblador llamada ERMAC, abreviatura de Error Macro.

Un rumor demasiado bueno para no acabar siendo real

El detalle que lo cambió todo estaba en dónde aparecía ese contador. Boon explicó que el número de ERMACS figuraba justo después del registro de veces que los jugadores habían luchado contra Reptile, que sí era un personaje oculto en el primer ‘Mortal Kombat’. La asociación era casi inevitable: si Reptile existía y estaba contado allí, Ermac podía parecer otro secreto del mismo tipo. Para un jugador que miraba aquella pantalla sin conocer el código que había detrás, el nombre no sonaba a herramienta interna, sino a alguien.

A partir de ahí, el hueco lo llenó la imaginación colectiva. Boon lo resumió con bastante claridad hace tiempo atrás en X: los rumores sobre Ermac se convirtieron en leyenda y algunos jugadores insistían en que habían llegado a enfrentarse a él. La precisión importante está justo después, porque el cocreador de ‘Mortal Kombat’ cortó la historia con una frase breve: “No lo hicieron :)”. No había un ninja rojo escondido en el primer juego, sino una lectura equivocada que había encontrado el ecosistema perfecto para crecer.

Ermacs 3
Ermacs 3

Ermac en ‘Ultimate Mortal Kombat 3’

La parte más reveladora no está solo en el código, sino en el rastro que dejó la conversación. La supuesta pista vinculada a Electronic Gaming Monthly se remonta a 1993, y el rumor seguía apareciendo en foros mucho después: Mortal Kombat Online lo discutía en hilos de 2003 y años posteriores.

Boon recordó que en ‘Mortal Kombat II’ Reptile dejó de ser solo un luchador oculto y pasó a formar parte del plantel jugable, mientras el juego añadía otros tres personajes secretos: Smoke, Jade y Noob Saibot. Era una señal clara de que ‘Mortal Kombat’ seguía jugando con la idea de lo escondido, aunque Ermac todavía no estuviera allí. Para algunos jugadores, eso bastó para mantener abierta la búsqueda un poco más.

Ermacs 2
Ermacs 2

Ermac en ‘Ultimate Mortal Kombat 3’

El giro llegó en 1995, cuando ‘Ultimate Mortal Kombat 3’ convirtió por fin a Ermac en un luchador real. Boon lo explicó como parte de una decisión más amplia: para ‘Mortal Kombat 3’ empezaron a transformar algunos mitos en elementos del juego, comenzando por las Animalities, los remates animales de la saga, y en ‘Ultimate Mortal Kombat 3’, la versión ampliada de 1995, terminaron añadiendo a Ermac al plantel. El personaje que muchos habían buscado antes de tiempo aparecía ahora como el ninja rojo que la comunidad ya había imaginado, pero con una diferencia importante: esta vez sí existía.

Ermacs Mtk 1
Ermacs Mtk 1

Ermac en ‘Mortal Kombat 1’

A partir de ahí, Ermac dejó de depender del rumor y empezó a tener una vida propia dentro de la saga. Boon recordó que, con los años, el personaje apareció en varios juegos de ‘Mortal Kombat’ y terminó acumulando historia, trasfondo y un lugar dentro del lore. Esa evolución no borra su origen, más bien lo hace más peculiar: primero fue una abreviatura interna, después una interpretación de los jugadores y finalmente un luchador con identidad. Pocos personajes resumen tan bien la relación entre error, comunidad y canon.

La última vuelta de la historia llegó con ‘Mortal Kombat 1’, la entrega desarrollada por NetherRealm Studios y publicada por Warner Bros. Games en septiembre de 2023 como reinicio de la saga. Boon recuperó el origen de Ermac en aquel momento porque el personaje estaba a punto de llegar al plantel del juego como contenido descargable. Servía también como contexto perfecto para presentar a un luchador que había empezado como contador de errores y seguía funcionando, décadas después, como reclamo.

Imágenes | Captura YouTube (Torne) |

En Xataka | Los analistas independientes coinciden: “La Steam Machine es una curiosidad cara, no un dispositivo de juego para masas”

ues de anuncios individuales.

Source link

Continue Reading

Trending