Fin de la auditoría a KeePass: es un gestor de contraseñas seguro

El pasado mes de Junio de 2016 comenzó una auditoría pública a uno de los más utilizados y populares gestores de contraseñas: KeePass. Ha sido llevada a cabo durante varios meses por parte de la EU-FOSSA que significa European Commission EU Free and Open Source Auditing Project.

Se trata de un proyecto piloto creado para tener un proceso normalizado de análisis de software de código abierto, cada vez más utilizado por organismos públicos, pero que aún escapa bastante al control de las autoridades europeas.

Para ello se ha ido elaborando un inventario de sistemas open source utilizados por la Comisión, publicándose estudios sobre las prácticas de seguridad de 14 comunidades, revisando además dos soluciones populares de este tipo.

Acerca de KeePass

Este es uno de los gestores de contraseñas más populares -en parte por ser 100% gratuito– y que funciona en cualquier plataforma, sin importar si es Windows, Mac OS o Linux. Funciona con una base de datos cifrada a nivel local, lo que lo diferencia de otros que también ofrecen la opción de sincronizar dispositivos remotos.

A grandes rasgos, podemos definir este como un administrador de credenciales excelente y con gran potencia para su gratuidad: muchas opciones, capacidad de abrir diferentes bases de datos cifradas con un login global, opción de mejorar la seguridad modificando opciones a nuestro antojo, etc.

Este gestor de contraseña soporta plugins y forks gracias a su naturaleza open source. Los plugins o complementos nos permitirán aumentar su capacidad, para integrarlo por ejemplo con los navegadores web populares o sincronizar la base de datos utilizando servicios cloud populares como DropBox.

La auditoría a KeePass demuestra su seguridad

Volviendo a la auditoría en sí, hay que destacar en primer lugar que el código de KeePass analizado estos meses ha sido un tanto antiguo en comparación con la versión actual. Se ha estudiado el de la 1.31 mientras actualmente se suministra la v2.34. Cabe pensar que una versión más moderna de KeePass calificaría por lo menos igual de bien.

KeePass 1.xx es la versión ya en desuso de este gestor de contraseñas, no requiere Microsoft .NET y carece de algunas de las características de las que goza su sucesor: no permite enlazarlo a una cuenta de usuario de Windows o usar OTP (One Time Passwords). Comparativa de versiones aquí.

La auditoría a KeePass ha tenido en cuenta 84622 líneas de código y no ha encontrado riesgos de tipo crítico o de alto riesgo en el mismo. Se han hallado cinco vulnerabilidades de criticidad media y seis de tipo informativo. Ningún programa hoy en día está exento de este tipo de vulnerabilidades, no siendo críticas son admisibles, aunque evidentemente deben repararse.

El informe elaborado por los auditores puede descargarse aquí, en la web de EU-FOSSA. Allí también podéis contemplar la auditoría de código que se ha realizado a Apache.