Vulnerabilidades en LastPass

lastpass

Detectadas vulnerabilidades en LastPass que comprometen todas las contraseñas

Una de las medidas básicas, y que incluso recomendamos en nuestro artículos, para la seguridad informática es proteger nuestras cuentas de usuarios de accesos no autorizados mediante contraseñas siempre siendo una contraseña cuyos requisitos la hagan segura y que se almacene también de manera segura en el servidor de modo que ante un robo de datos no pueda ser descifrada. Lamentablemente, para la mayoría de nosotros es complicado recordar una contraseña que sea larga y que mezclen letras, números y caracteres especiales, por lo que para facilitarnos esta tarea se pueden utilizar herramientas especiales como LastPass.

LastPass es una de las herramientas más utilizadas para la administración de nuestras contraseñas y mantenerlas sincronizadas entre todos los dispositivos que queramos de manera que tan sólo recordando una clave (clave maestra) podemos tener a nuestra disposición todas las contraseñas necesarias para el entorno en el que nos encontremos.

Sin embargo, todo lo que está conectado a internet al final está también expuesto ante posibles ataques informáticos, y en este caso, LastPass no iba a ser una excepción. Recientemente, dos investigadores de seguridad han detectado dos vulnerabilidades graves que han expuesto las contraseñas de los usuarios de este administrador online.

¿Son vulnerabilidades exclusivamente técnicas? La respuesta es no.

La primera de las vulnerabilidades se basaba en que, mediante una URL específica, un atacante puede engañar tanto a un usuario de la herramienta como a la propia LastPass para hacerle pensar que se encuentra en una web concreta cuando, la realidad, es que está en otra web controlada por el propio atacante. En la web controlada por el atacante habrá un formulario y al engañar a LastPass, este lo rellenará con los credenciales del usuario, para que una vez el usuario remita el formulario entonces dichos datos pasarán a las manos del atacante.

La segunda de las vulnerabilidad funciona de forma similar también. En este caso, la vulnerabilidad fue detectada por Project Zero, los investigadores de seguridad de Google, y para explotarla se requería de un proceso un poco más complejo ya que el atacante tenía que engañar al usuario para que visitase una web maliciosa y, una vez en ella, se procedía al control de LastPass, pudiendo tener acceso a la base de datos para descargarla e incluso borrar entradas de la misma.

Por suerte, estas vulnerabilidades fueron detectadas y corregidas antes de que nadie se viese afectado por los ingenieros de LastPass ya que fueron advertidos por estos expertos de seguridad mediante el correspondiente informe, por lo que las contraseñas almacenadas en LastPass vuelven a estar seguras.

Dicho esto y si realmente nos importa la seguridad de nuestras contraseñas, en lugar de usar un software privado y que se encuentra en la nube, por lo que es susceptible de recibir multitud de ataques informáticos como ya hemos explicado anteriormente debido al enorme valor que supondría para un atacante el hacerse con esta inmensa cantidad de contraseñas de usuarios. Suele ser una opción que nos traerá menos preocupaciones el usar un software instalado localmente como puede ser KeePass, una alternativa a LastPass totalmente gratuita y de código abierto que nos permite tener nuestra base de datos de contraseñas de manera local, con lo cual estamos mucho más protegidos frente a los posibles ataques informáticos.

 

Compartir:

Te podría interesar:

Contacto rápido
Archivos
Scroll al inicio