El desarrollador argumentó que los “costes indirectos” eran demasiado altos como para publicar la actualización, la cual tendría que cifrar el tráfico web. El impacto de esta decisión podría ser bastante grave, ya que se abre la posibilidad de que un atacante secuestre el proceso de actualización y envíe malware al ordenador de la víctima. De hecho hasta se ha publicado un vídeo en YouTube mostrando en acción la vulnerabilidad de KeePass que no se ha parcheado por motivos económicos.

En su defensa, Reichl ha dicho que quiere implementar el cifrado tan pronto como él lo vea posible. También quiere verificar si el usuario ha descargado un fichero firmado en caso de estar preocupado. Pese a todo, resulta muy contradictorio ver la seguridad en segundo plano en un desarrollo destinado a crear una aplicación centrada en la seguridad.

Es cierto que muchas aplicaciones no tienen muchas formas de generar ingresos, viéndose forzadas muchas veces hasta a incluir publicidad. Sin embargo, esta política de anteponer los ingresos a la seguridad, más cuando se sabe que los usuarios están expuestos a una vulnerabilidad importante, podría terminar dañando mucho la reputación de KeePass, pudiendo incluso perder una gran cantidad de usuarios.

Aquellos que quieran conocer qué es KeePass y cómo funciona pueden ver el especial que nuestros compañeros de MuyComputer publicaron sobre los gestores de contraseñas más populares.

Fuente: Engadget | muyseguridad