Auditoría KeePass: no se encontraron vulnerabilidades de seguridad críticas

Informamos en junio de 2016 que KeePass, un popular administrador de contraseñas, estaba recibiendo una auditoría de seguridad por el proyecto de auditoría de software libre y de código abierto de la UE (EU-FOSSA) de la Comisión Europea.

EU-FOSSA es un proyecto piloto para crear un proceso formal para contribuir con revisiones de seguridad de software a comunidades de código abierto.



El proyecto creó un inventario de soluciones de código abierto utilizadas por la Comisión, publicó estudios sobre las prácticas de seguridad de 14 comunidades de código abierto y revisó dos soluciones populares de código abierto.

KeePass es un administrador de contraseñas creado para Windows, que también funciona en Linux, que utiliza una base de datos cifrada almacenada localmente.

El programa se envía con una impresionante lista de opciones. Puede habilitar un acceso directo de inicio de sesión global por ejemplo, o mejorar la seguridad de KeePass modificando ajustes.

El administrador de contraseñas admite complementos y bifurcaciones gracias a su naturaleza de código abierto. Los complementos permiten a los usuarios ampliar la funcionalidad del programa, por ejemplo integrándolo en navegadores web o sincronizando la base de datos utilizando proveedores de almacenamiento en línea.

Auditoría KeePass

keepass source audit

El equipo de investigación auditó el código de KeePass 1.31 y no el de KeePass 2.34. Si bien KeePass 2.34 no se menciona en ninguna parte del informe, parece razonable que KeePass 2.34 se comportaría de manera similar en una auditoría de código.



KeePass 1.x es la versión heredada del administrador de contraseñas. La versión no requiere Microsoft .NET pero carece de características con las que solo se envía KeePass 2.x. No admite vincular KeePass a la cuenta de usuario de Windows o contraseñas de un solo uso, por ejemplo. Encuentra una comparación de la edición completa mesa aquí.

keepass audit

La auditoría de KeePass revisó las 84622 líneas de código y no encontró problemas críticos o de alto riesgo en el código. Sin embargo, sí encontró cinco emisiones de calificación media, tres de calificación baja y seis de calificación únicamente de información.



No se detectaron hallazgos críticos o de alto riesgo. Entre los hallazgos restantes, se detectaron cinco resultados de riesgo medio y tres de bajo riesgo. Los seis restantes fueron de carácter informativo.

Los problemas que encontraron los investigadores se detallan en el informe de auditoría que puede descargar del página de entregas de proyectos en el sitio web de EU-Fossa. Allí también encontrará una lista de la auditoría de seguridad de Apache (consulte WP6: revisión de código de muestra cerca de la parte inferior de la página).

Palabras de cierre

KeePass es un administrador de contraseñas excelente y seguro para Windows. Los resultados de la auditoría del código sugieren que es un programa bien diseñado sin problemas críticos o de alto riesgo.

Ahora tu: ¿Qué administrador de contraseñas estás usando y por qué?