Hoy en día para navegar en internet necesitamos contraseñas para casi todo, desde la banca electrónica, el correo electrónico, las redes sociales hasta la cuenta de nuestro foro favorito.

Todas estas contraseñas deben ser distintas y robustas para que sean difíciles o inviables descifrarlas pero tal cantidad de contraseñas diferentes y complejas dificulta el recordarlas. Por ese motivo se usan los gestores de contraseñas de navegadores, cosa que no se debería hacer de forma sistemática porque averiguar esas contraseñas almacenadas es mucha más fácil de lo que parece.

De eso último es de lo que hablaré hoy. Voy a mostrar como se hace para ver esas contraseñas sin tener conocimiento alguno de cracking de contraseñas.

Condiciones y herramientas necesarias

Antes de ponernos manos a la obra necesitamos lo siguiente:

  1. Tener acceso físico al equipo de la víctima
  2. Saber cuál es el navegador de internet que usa nuestra víctima
  3. La página de acceso a la red social, mail...

La herramienta externa necesaria para ver las contraseñas es ninguna. Vamos a utilizar una herramienta del propio navegador para averiguar la contraseña.

Procedimiento

Conseguir el acceso físico

El primer paso es conseguir el acceso físico al equipo con la sesión de usuario de la víctima. Conseguir esto depende en gran medida de la víctima.

Puede darse el caso de que la víctima es una persona conocida que te ha dejado el ordenador, o ha dejado el ordenador encendido y abandonado sin bloquear el equipo, o simplemente es un compañero de trabajo que deja anotado el usuario y contraseña para acceder a su sesión en un post-it, el cual esta pegado en la parte inferior de la pantalla (y esto último lo he visto más de una vez por increíble que parezca).

Hacerse con la contraseña deseada

Una vez estamos enfrente del ordenador abrimos el navegador de internet que utiliza la víctima y que sabemos de antemano que almacena las contraseñas con el gestor de contraseñas del propio navegador.

A continuación accedemos a la página de inicio de sesión de la contraseña que queremos conseguir. Si el usuario utiliza el gestor de contraseñas para este servicio veremos que los campos están ya rellenos. Ahora pinchamos con el botón derecho sobre el campo de la contraseña y en el menú contextual pinchamos en Inspeccionar elemento

Inspeccionar elemento en firefox

Nota: En el ejemplo estoy usando el navegador firefox pero los pasos son válidos para los navegadores más utilizados.

Al pinchar se abrirá la herramienta para desarrolladores del navegador, en concreto el inspector de elementos. En firefox tenemos que abrir el panel de marcado y resaltado aparecerá una linea con varios campos. Aquí es donde vamos a realizar modificaciones para ver la contraseña. Lo que debemos cambiar es el valor "password" del campo type por "text".

Campo password

Inmediatamente después de cambiar el valor del campo vemos claramente la contraseña que utiliza la víctima para acceder a la página.

Campo texto

Conclusiones

Como decía al principio no se debería usar el gestor de contraseñas nunca, y en caso de hacerlo debemos ser conscientes de que cualquiera que tenga acceso a nuestra sesión podría acceder sin tener idea de la contraseña pulsando en "entrar".

Si además de usar el gestor de contraseñas dejamos las credenciales para acceder a la sesión a la vista de todos (el post-it pegado en la pantalla) lo que estamos haciendo es pedir a gritos que nos roben la información que tengamos en ese ordenador.

Ahora ya sabéis a que os exponéis al usar los gestores de contraseñas y por lo que más queráis, no utilicéis esta información para hacerse con la contraseña de vuestra ex-novia que nos conocemos...