Las claves de acceso no te salvarán. VaultJacking golpea donde la protección de Google no llega.
Lo que la «corporación del bien» llama protección, los hackers lo ven como su mayor «regalo del destino».
Un código PIN corto puede convertir el almacén de contraseñas de Google en una puerta abierta para los atacantes. La nueva técnica de phishing VaultJacking muestra que ni siquiera el acceso mediante claves de acceso salva, si el atacante llega no a un sitio individual, sino al mecanismo de sincronización de credenciales.
Según especialistas de PhishU, el ataque se basa en el esquema Adversary-in-the-Middle, cuando la víctima es redirigida a una página de inicio de sesión de Google falsa pero creíble. Durante esa sesión, los atacantes interceptan el nombre de usuario, la contraseña, las cookies de sesión y el PIN de seis dígitos del gestor de contraseñas de Google.
Es el PIN el que se convierte en el eslabón principal del ataque. Al obtener el código, los atacantes pueden añadir su dispositivo a la lista de dispositivos de confianza de la cuenta de Google. Tras la conexión, el sistema emite una clave secreta del área de confianza. Con esa clave, los atacantes pueden descifrar las contraseñas guardadas y los datos de las claves de acceso (passkeys).
A diferencia del phishing habitual, donde los delincuentes roban el acceso a un solo servicio, VaultJacking permite extraer todo el almacén sincronizado de una sola vez. Están en peligro el correo, las cuentas bancarias, los sistemas corporativos y las plataformas de criptomonedas, si sus datos están guardados en la cuenta de Google.
PhishU afirma que la técnica funciona incluso contra cuentas que usan claves de acceso, incluidas las opciones con protección por hardware. Las claves en sí no se vulneran: la vinculación de WebAuthn al dominio sigue protegiendo el acceso a sitios concretos. VaultJacking evade ese nivel porque ataca la sincronización del almacén, no el proceso de autorización en un recurso aislado.
Tras obtener el PIN, los atacantes pueden registrar su propia clave de acceso en la cuenta de la víctima, entrar con ella y conectar su dispositivo al área de confianza de Google a través de una infraestructura controlada por ellos. La víctima ve pocas señales: normalmente llegan correos sobre un nuevo acceso o una clave añadida, pero sin una petición separada de confirmación desde un dispositivo de confianza. Si los delincuentes ya controlan el correo, esos avisos se pueden ocultar.
Los autores del informe asocian el riesgo a que Google permite conectar un nuevo dispositivo mediante un PIN corto sin la aprobación obligatoria desde un dispositivo ya confiable. En Apple, iCloud Keychain requiere una confirmación explícita para un acceso similar, lo que reduce el valor del código interceptado.
Para las empresas que usan Google Workspace, PhishU recomienda supervisar atentamente la adición de nuevos dispositivos y considerar esos eventos como un posible indicio de compromiso. Perfiles separados de trabajo y personales en Chrome también reducen el daño si una cuenta resulta comprometida.