Incibe alerta de fallos de seguridad en las contraseñas de Firefox

El Instituto Nacional de Ciberseguridad (INCIBE), con sede en León, ha informado de un fallo de seguridad en el almacenamiento de contraseñas que ofrecen el navegador Mozilla Firefox y el cliente de correo Thunderbird a sus usuarios. La citada brecha provoca que el cifrado no se realice de forma segura, lo que podría permitir a los piratas informáticos romper las contraseñas maestras y acceder a los datos de los usuarios.

El organismo ha aclarado, a través de la Oficina de Seguridad del Internauta (OSI), que por el momento no hay disponible una actualización o parche de seguridad con el que se solucione este fallo.

La citada oficina advierte que desde Mozilla han anunciado que están trabajando en sustituir el gestor de contraseñas actual por uno nuevo más seguro, denominado LockBox, que estará disponible como una extensión para Firefox con su próxima actualización.

“Hasta que se lance este nuevo gestor, se recomienda a los usuarios que se vean afectados que eliminen las contraseñas que tienen almacenadas en estos programas”, advierte el organismo público. La medida busca evitar cualquier suplantación de identidad. OSI muestra en su web cómo borrar las contraseñas de Firefox y cómo visualizarlas antes de borrarlas. Igualmente, informa sobre los pasos a seguir para eliminar las contraseñas almacenadas en Thunderbird.

El fallo de seguridad fue detectado originalmente hace más de nueve años por un investigador de seguridad, recuerda el Incibe, que asegura que, si bien este usuario reportó el problema a Mozilla, no se llevaron a cabo acciones oficiales para solucionarlo. La brecha se debe a que la contraseña empleada para cifrar el resto de contraseñas almacenadas tanto en Firefox como en Thunderbird emplea un cifrado (SHA-1), que actualmente no se considera seguro, ya que a finales de 2005 se encontraron vulnerabilidades con las que es posible romperlo.