Una de las medidas de seguridad básicas hoy en día para proteger nuestras cuentas de usuarios no autorizados y piratas informáticos es utilizar una contraseña segura de manera que, siempre y cuando el servidor la almacene segura, esta no pueda ser adivinada ni descifrada en un robo de las bases de datos. Por desgracia, para muchos es complicado recordar contraseñas largas que mezclan letras, números y caracteres especiales, por lo que para facilitarnos esta tarea podemos utilizar herramientas especiales como LastPass.
LastPass es una de las plataformas de pago más utilizadas para administrar nuestras contraseñas y mantenerlas sincronizadas entre todos los dispositivos que queramos de manera que recordando tan solo la clave maestra de la aplicación podamos tener a nuestra disposición todas nuestras contraseñas estemos donde estemos.
Sin embargo, todo lo que está conectado a Internet está expuesto ante posibles ataques informáticos, y LastPass no iba a ser menos. Recientemente, dos investigadores de seguridad han detectado dos vulnerabilidades graves que han expuesto las contraseñas de los usuarios de este administrador.
Las dos vulnerabilidades de LastPass requerían ingeniería social o phishing
La primera de las vulnerabilidades se basaba en que, mediante una URL específica, un atacante puede engañar tanto a un usuario como a LastPass para hacerle pensar que se encuentra en una web concreta cuando, en realidad, está en otra controlada por él. Gracias a la función de auto-rellenado de usuarios y contraseñas, este administrador de contraseña rellenará los credenciales y, al enviarlos para iniciar sesión, estos pasarán a las manos del atacante.
La segunda de las vulnerabilidades funciona de forma similar. En este caso, esta fue detectada por Project Zero, los investigadores de seguridad de Google y, para explotarla, un atacante debía engañar a la víctima para visitar una web maliciosa y, una vez en ella, podía tomar el control de LastPass, por ejemplo, para borrar entradas o descargar la base de datos.
Por suerte, no se conoce ningún caso en el que alguna de estas dos vulnerabilidades haya sido explotada por piratas informáticos, ya que tan pronto como los investigadores de seguridad las han detectado han enviado el correspondiente informe para que los ingenieros de LastPass las solucionen.
LastPass, igual que cualquier otra plataforma privativa y en la nube, no es la mejor opción para proteger las contraseñas
Actualmente la compañía ha solucionado ya estas dos vulnerabilidades, por lo que las contraseñas vuelven a estar seguras y los usuarios no podrán ser víctimas de estos ataques, sin embargo, no es la primera vez que ocurre esto, y es que la información que almacena esta compañía de millones de usuarios tiene un valor incalculable para los piratas informáticos, quienes seguirán buscando nuevas formas de comprometer la plataforma.
Todo lo que esté en Internet está expuesto a posibles ataques, por muy robusta que sea la seguridad y los controles que se apliquen. Por ello, a nivel personal, recomiendo que los usuarios que quieran utilizar un administrador de contraseñas utilice KeePass, una alternativa a LastPass totalmente gratuita y de código abierto que, al tener su base de datos gestionada localmente de forma privada por cada usuario, estamos mucho más protegidos frente a estos ataques informáticos.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad