Un nuevo fallo en LastPass 4.1.43 ha puesto en peligro tus contraseñas

Escrito por Rubén Velasco
Seguridad

Los usuarios, poco a poco, se están concienciando de la importancia de utilizar contraseñas seguras en las páginas web en las que se registran para evitar que mediante técnicas como la ingeniería social o la fuerza bruta los usuarios puedan hacerse con ellas. Aunque siempre es recomendable utilizar contraseñas diferentes, complejas y largas, el uso de estas contraseñas difíciles de recordar suele llevarnos a buscar herramientas y plataformas que nos ayuden a recordarlas, y una de las más comunes es LastPass.

LastPass es una plataforma privativa y de pago diseñada para ayudarnos a almacenar en ella todas nuestras contraseñas de forma “segura” de manera que, recordando solo una contraseña maestra, podamos acceder rápidamente a todas nuestras contraseñas.

Dejando de lado que, para empezar, estamos almacenando en un servidor externo, propiedad de una empresa privada, nuestras contraseñas, la información que más privadamente deberíamos guardar, la seguridad de esta plataforma ya se ha visto comprometida en varias ocasiones, una de las más recientes, sin ir más lejos, la semana pasada.

Hoy, volvemos a hacer eco de un nuevo fallo que está poniendo en peligro nuestras contraseñas y para el que, de momento, no hay solución.

Dos fallos bastante graves en las extensiones de LastPass han estado poniendo en peligro nuestros datos

Ormandy, un conocido miembro del grupo Project Zero de Google, ha encontrado un fallo de seguridad en la plataforma LastPass que puede permitir a un atacante acceder a las contraseñas de la plataforma a través de las extensiones de los navegadores. Tal como asegura la compañía, la vulnerabilidad es muy compleja y requiere de un exploit muy sofisticado para poder explotarlo, pero es real.

Nueva Vulnerabilidad LastPass marzo 2017

En concreto, la versión afectada por este fallo es LastPas 4.1.43, la última versión disponible, por lo que todos los usuarios que utilicen esta extensión del administrador de contraseñas pueden estar en peligro.

LastPass: Free Password Manager

La compañía ha asegurado que ya se encuentra trabajando en una solución que le permita corregir esta vulnerabilidad en su extensión y asegura que sigue trabajando en hacer la herramienta lo más segura posible.

Por el momento, Tavis asegura tener un informe completo y un exploit funcional listos para enviárselo a la compañía para que puedan solucionar este problema cuanto antes, siempre y cuando no pasen los 90 días de plazo que ofrece este grupo de investigadores de Google que, de ser así, el fallo se publicaría en la red igual que otras veces.

Cómo protegernos temporalmente de esta vulnerabilidad de LastPass

Utilizar esta extensión es muy cómodo, sin embargo, hasta que no se solucione esta nueva vulnerabilidad no es recomendable ya que no sabemos si algún pirata informático puede conocerla y está explotándola sin que seamos conscientes de ello.

Por ello, los responsables de LastPass recomiendan en su blog dejar de utilizar esta extensión y acceder a las contraseñas directamente desde la bóveda de LastPass. Además, igual que siempre, se recomienda activar en todos los sitios que sea posible los sistemas de doble autenticación de manera que, si nos roban la contraseña, no puedan iniciar sesión igualmente, e incluso tener mucho cuidado con los ataques de phishing y los enlaces a los que accedemos, ya que fácilmente podemos ejecutar código malicioso en nuestro sistema.

Tan pronto como este parche se encuentre disponible, los responsables de LastPass darán más información sobre la vulnerabilidad, pero, de momento, es recomendable seguir estos consejos de seguridad para evitar poner en peligro nuestras contraseñas.

¿Crees que este tipo de plataformas son lo suficientemente seguras como para confiarlas nuestras contraseñas?

Fuente > LastPass


Continúa leyendo
  • Comentus

    Es increíble la falsa campaña q lleváis contra esta empresa, habláis siempre de versiones, q vosotros sabréis de donde las sacáis, pero nunca son las últimas, q son las q tenemos instalados los usuarios de este fantástico gestor de contraseñas. Yo tengo la versión 4.2.375, instalada desde hace bastante días antes de esta noticia, osea mentís, yo sigo recopilando información de la campaña q lleváis contra lastpass, sus abogados ya están preparando todo, vosotros seguid seguid…

    • Nosotros publicamos los fallos de todos los software más relevantes, a mí LastPass ni me va ni me viene, pero los usuarios deben saber todas las vulnerabilidades para actualizar a la última versión siempre. Por ejemplo hoy publicaremos una de Samba que es utilizada por millones de personas para compartir archivos.

Últimos análisis

Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10