Los usuarios, poco a poco, se están concienciando de la importancia de utilizar contraseñas seguras en las páginas web en las que se registran para evitar que mediante técnicas como la ingeniería social o la fuerza bruta los usuarios puedan hacerse con ellas. Aunque siempre es recomendable utilizar contraseñas diferentes, complejas y largas, el uso de estas contraseñas difíciles de recordar suele llevarnos a buscar herramientas y plataformas que nos ayuden a recordarlas, y una de las más comunes es LastPass.
LastPass es una plataforma privativa y de pago diseñada para ayudarnos a almacenar en ella todas nuestras contraseñas de forma “segura” de manera que, recordando solo una contraseña maestra, podamos acceder rápidamente a todas nuestras contraseñas.
Dejando de lado que, para empezar, estamos almacenando en un servidor externo, propiedad de una empresa privada, nuestras contraseñas, la información que más privadamente deberíamos guardar, la seguridad de esta plataforma ya se ha visto comprometida en varias ocasiones, una de las más recientes, sin ir más lejos, la semana pasada.
Hoy, volvemos a hacer eco de un nuevo fallo que está poniendo en peligro nuestras contraseñas y para el que, de momento, no hay solución.
Dos fallos bastante graves en las extensiones de LastPass han estado poniendo en peligro nuestros datos
Ormandy, un conocido miembro del grupo Project Zero de Google, ha encontrado un fallo de seguridad en la plataforma LastPass que puede permitir a un atacante acceder a las contraseñas de la plataforma a través de las extensiones de los navegadores. Tal como asegura la compañía, la vulnerabilidad es muy compleja y requiere de un exploit muy sofisticado para poder explotarlo, pero es real.
En concreto, la versión afectada por este fallo es LastPas 4.1.43, la última versión disponible, por lo que todos los usuarios que utilicen esta extensión del administrador de contraseñas pueden estar en peligro.
La compañía ha asegurado que ya se encuentra trabajando en una solución que le permita corregir esta vulnerabilidad en su extensión y asegura que sigue trabajando en hacer la herramienta lo más segura posible.
Por el momento, Tavis asegura tener un informe completo y un exploit funcional listos para enviárselo a la compañía para que puedan solucionar este problema cuanto antes, siempre y cuando no pasen los 90 días de plazo que ofrece este grupo de investigadores de Google que, de ser así, el fallo se publicaría en la red igual que otras veces.
Cómo protegernos temporalmente de esta vulnerabilidad de LastPass
Utilizar esta extensión es muy cómodo, sin embargo, hasta que no se solucione esta nueva vulnerabilidad no es recomendable ya que no sabemos si algún pirata informático puede conocerla y está explotándola sin que seamos conscientes de ello.
Por ello, los responsables de LastPass recomiendan en su blog dejar de utilizar esta extensión y acceder a las contraseñas directamente desde la bóveda de LastPass. Además, igual que siempre, se recomienda activar en todos los sitios que sea posible los sistemas de doble autenticación de manera que, si nos roban la contraseña, no puedan iniciar sesión igualmente, e incluso tener mucho cuidado con los ataques de phishing y los enlaces a los que accedemos, ya que fácilmente podemos ejecutar código malicioso en nuestro sistema.
Tan pronto como este parche se encuentre disponible, los responsables de LastPass darán más información sobre la vulnerabilidad, pero, de momento, es recomendable seguir estos consejos de seguridad para evitar poner en peligro nuestras contraseñas.
Fuente: https://www.redeszone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
