KeePass ha sido (y aún es) una sólida recomendación para administrar contraseñas, pero al tratarse de un proyecto open source, con el paso del tiempo surgieron clientes alternativos muy interesantes, y uno de ellos es KeePassXC. Este programa no sólo puede abrir bases de datos compatibles con KeePass 2.x, sino que además posee otras opciones de seguridad que vale la pena estudiar más de cerca.
Los administradores de contraseñas no están pasando por un buen momento, y la razón es obvia: Son blancos prioritarios para muchos elementos maliciosos allá afuera. Pero la historia de hoy comienza con la publicación de CVE-2023-24055, una vulnerabilidad asociada a KeePass 2.53 y versiones anteriores. ¿Cómo funciona la vulnerabilidad? KeePass posee un sistema de gatillos o triggers que le permiten al usuario automatizar ciertas acciones. En sus parámetros por default, un atacante con acceso directo de escritura al archivo de configuración de KeePass puede programar un gatillo para que las credenciales de la base de datos sean exportadas en plaintext «y» en segundo plano sin confirmación del usuario, una vez que sea abierta.
Pero el verdadero conflicto surgió porque Dominik Reichl, desarrollador de KeePass, no sólo decidió disputar la validez del CVE, sino que además declaró el equivalente a un «wontfix». ¿Por qué? Desde su punto de vista, si un atacante tiene ese nivel de acceso, el sistema ya está comprometido y puede hacer cosas mucho peores. El debate en el foro oficial de KeePass es fascinante, y con argumentos muy fuertes de ambas partes, pero la verdadera pregunta es: ¿Qué puede hacer el usuario? En líneas generales, se mencionan tres caminos: Bajar a KeePass 1.4x que no posee el sistema de gatillos, realizar hardening en KeePass con un archivo de configuración estático, o buscar un cliente alternativo como KeePassXC.
KeePassXC: Administrador de contraseñas compatible con KeePass
KeePassXC se presenta como un fork comunitario de KeePassX, que a su vez es un port multiplataforma de KeePass. Al no depender tanto del cliente oficial, KeePassXC deja de lado tanto el sistema de gatillos como el soporte para plugins, algo que sus desarrolladores rechazan de pleno. El programa se encuentra disponible en múltiples formatos, que van desde instaladores tradicionales y legacy (para Windows 7 y 8.x), hasta la tienda de Windows y el acceso vía Chocolatey / Winget.
Una de las primeras cosas que me sorprendió sobre KeePassXC (pero que tiene mucho sentido) es el bloqueo de screenshots. Las imágenes que estás viendo aquí sólo fueron posibles después de agregar el modificador –allow-screencapture en el acceso directo. En segundo orden, ingresar la contraseña de la base de datos no es suficiente: También solicita la contraseña o el pin del perfil de usuario en Windows antes de su apertura. Y finalmente, encontré una interfaz moderna, con soporte para modo oscuro, y funciones que no le envidian nada al cliente original.
Si hay un detalle más para destacar sobre KeePassXC es que sus ciclos de actualización no son tan frecuentes como en KeePass, pero al tratarse de proyectos diferentes, tampoco necesitan serlo. En lo personal, creo que voy a usar KeePassXC por un par de semanas. Si la situación de KeePass gira hacia una dirección más negativa, definitivamente tenemos un buen reemplazo aquí.
Sitio oficial y descarga: Haz clic aquí