Inicio Centro de ayuda para administradores

Aviso de seguridad: problema de pasar a una criptografía inferior

Para todos los planes

Aviso de seguridad: problema de pasar a una criptografía inferior

Printer icon
Publicado el 16 de febrero de 2026

Descripción general

Dashlane ha corregido un problema que, si los servidores de Dashlane hubieran sido totalmente comprometidos, podría haber permitido la inyección de artículos en una caja fuerte, provocando la degradación del modelo de encriptación utilizado para generar claves de encriptación y proteger las cajas fuertes de los usuarios.

La solución se lanzó el 5 de noviembre de 2025 en la Extensión de Dashlane para navegador versión 6.2544.1. Dashlane no ha encontrado evidencia de explotación de este problema.

El problema fue reportado a Dashlane por investigadores de seguridad externos como parte de un examen más amplio de las propiedades de seguridad de los administradores de contraseñas que han hecho público su código fuente.

Productos afectados

La Extensión Web de Dashlane, versión 6.2543 y versiones anteriores.

Se lanzó una solución en la versión 6.2544.1 de la extensión, publicada el 5 de noviembre de 2025.

Las aplicaciones móviles de Dashlane no se ven afectadas.

Acciones recomendadas

Si usted está usando una versión afectada de la extensión de Dashlane, actualice a la última versión.

Descripción

Las opciones criptográficas de cada usuario de Dashlane se almacenan como un artículo en su caja fuerte. Estas opciones criptográficas determinan cómo se derivan las claves de encriptación a partir de una contraseña maestra (si se utiliza una contraseña maestra), y qué tipo de encriptación se utiliza para proteger los artículos de la caja fuerte.

Suponiendo un punto de partida en el que los servidores de Dashlane ya están totalmente comprometidos, los investigadores de seguridad identificaron un problema que podría permitir a los atacantes pasar a opciones criptográficas inferiores.

La ejecución de una degradación implica que un atacante aproveche un problema que permite la inyección de artículos falsificados por el atacante en la caja fuerte, para insertar un artículo de configuración criptográfica malicioso. En condiciones óptimas para el atacante, el tiempo mínimo necesario para inyectar un artículo de configuración criptográfica malicioso es de aproximadamente 126 días (~ 4,2 meses).

Dependiendo de qué configuraciones criptográficas se pasaron a una versión inferior, podrían existir dos áreas de efecto:

  1. Pasar a menos iteraciones o cambiar el tipo de KDF: Una KDF (Función de Derivación de Claves) convierte contraseñas legibles por humanos en las claves de encriptación que se utilizan para proteger los artículos en la caja fuerte de un usuario. Pasar a un KDF con menos seguridad significa menor resistencia frente a un ataque de fuerza bruta dirigido a la contraseña maestra. Este riesgo no se aplica a las cuentas sin contraseña maestra o de inicio de sesión único (SSO), ya que sus claves de encriptación se generan con alta entropía y no se derivan de una contraseña elegida por el usuario.
  2. Pasar a CBC únicamente: Los artículos de la caja fuerte están protegidos con encriptación. “CBC-only” es un modo de cifrado que es vulnerable a los ataques Padding Oracle. Los ataques Padding Oracle permiten a los atacantes descifrar el texto cifrado sin conocer la clave de encriptación. En este contexto, significa que los atacantes podrían descifrar los artículos «rebajados» de la caja fuerte.

Estos problemas son el resultado del uso permitido de criptografía antigua basada únicamente en CBC. Esta criptografía antigua fue compatible con Dashlane en ciertos casos para mantener la compatibilidad con versiones anteriores y ofrecer flexibilidad en la migración.

Dashlane ha eliminado el soporte para la criptografía basada únicamente en CBC, lo que hace que estos ataques de pasar a una versión inferior ya no sean posibles.

Impacto

El problema de inyección de artículos podría permitir a los atacantes insertar artículos falsificados por el atacante en una caja fuerte. Con suficiente tiempo (un mínimo de ~126 días) en condiciones óptimas para el atacante, se podría crear un artículo de configuración criptográfica con parámetros degradados.

El pasar a una versión inferior de las opciones criptográficas de un usuario podría dar lugar a dos escenarios:

  1. KDF pasado a una versión inferior: La reducción de la resistencia frente a ataques de fuerza bruta significa que, en situaciones en las que la contraseña maestra sea débil o fácil de adivinar, esto podría conducir al compromiso de la contraseña maestra y, posteriormente, de la caja fuerte del usuario. Los usuarios con contraseñas maestras fuertes no serían vulnerables.
  2. Pasar a CBC únicamente: Debilitar la encriptación de los artículos de la caja fuerte podría permitir que un atacante comprometa los artículos de la caja fuerte individualmente al descifrarlos uno por uno. Solo serían vulnerables los artículos de la caja fuerte creados, modificados o eliminados después de pasar a una versión inferior.

Agradecimientos

Dashlane desea agradecer a Matteo Scarlata, Giovanni Torrisi, Matilda Backendal y Kenny Paterson del grupo de Criptografía Aplicada de ETH Zurich por haber informado de este problema y por su asistencia durante todo el proceso.

Tecnología de Zendesk