Vulnerabilidad de extensión del navegador Lastpass revelada: cómo mantenerse a salvo

LastPass, uno de los administradores de contraseñas más populares, enfrenta graves problemas con las extensiones de su navegador, ya que se revelaron múltiples vulnerabilidades con el servicio durante la semana pasada, y aún persisten.

La tecnología está en constante evolución, y aunque está destinada a mejorar nuestro estilo de vida, a veces incluso puede ser perjudicial en caso de que se exploten ciertos errores, especialmente cuando se trata de un servicio como LastPass, que es responsable de salvaguardar decenas de millones de contraseñas.

La semana pasada, el 20 de marzo, Tavis Ormandy, investigador del Proyecto Cero de Google, descubrió dos errores en las extensiones del navegador de LastPass que hicieron que los usuarios fueran vulnerables a la ejecución remota de código.

Las vulnerabilidades reveladas afectaron a los usuarios comerciales y personales del servicio.

¿Vulnerabilidades reveladas durante la semana pasada?

20 de marzo: Tavis Ormandy encuentra dos vulnerabilidades de Ejecución remota de código (RCE) que estaban afectando a las extensiones del navegador de LastPass, lo que podría permitir a un atacante robar contraseñas.

¡Vaya! Nuevo error de LastPass que afecta a 4.1.42 (Chrome y FF). RCE si utiliza el "componente binario", de lo contrario puede robar pwds. Informe completo en camino. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 20 de marzo de 2017

21 de marzo: LastPass reconoce el informe de Ormandy y confirma que las vulnerabilidades existen y que su equipo trabajará para solucionarlas.

Somos conscientes del informe de @taviso y nuestro equipo ha implementado una solución mientras trabajamos en una resolución. Estén atentos para las actualizaciones.

- LastPass (@LastPass) 21 de marzo de 2017

22 de marzo: la compañía anuncia que ha lanzado nuevas versiones de las extensiones de navegador Chrome (v 4.1.43) y Firefox (v 4.1.36) con actualizaciones de seguridad.

También mencionaron que no hubo datos comprometidos entre este período y los usuarios no tienen que preocuparse por cambiar sus credenciales. Se lanzarán versiones actualizadas de las extensiones de navegador Microsoft Edge y Opera en espera de la aprobación de la compañía.

25 de marzo: Tavis Ormandy descubre otra vulnerabilidad que enfrenta la versión actualizada de la extensión del navegador Google Chrome (v 4.1.43). LastPass reconoce la vulnerabilidad en una actualización de su anuncio del 22 de marzo.

Ah-ha, tuve una epifanía en la ducha esta mañana y me di cuenta de cómo obtener codeexec en LastPass 4.1.43. Informe completo y explotación en el camino. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 25 de marzo de 2017

27 de marzo: LastPass emitió una declaración, "No estamos abordando activamente la vulnerabilidad. Este ataque es único y altamente sofisticado. No queremos revelar nada específico sobre la vulnerabilidad o nuestra solución que pueda revelar algo a partes menos sofisticadas pero nefastas ".

¿Cómo mantenerse a salvo?

Actualmente, LastPass ha confirmado que está trabajando para solucionar los problemas de seguridad con su servicio y se puede esperar una solución completa pronto. Mientras tanto, se recomienda que los usuarios de LastPass presten atención a las siguientes precauciones.

• Para salvaguardar sus credenciales de inicio de sesión, se recomienda a los usuarios que deshabiliten las extensiones del navegador mientras tanto y que inicien sitios web directamente desde la Bóveda de LastPass hasta que la empresa resuelva las vulnerabilidades.
• Active la autenticación de dos factores para todas las cuentas que ofrecen la opción, dándole a su cuenta una capa adicional de seguridad en caso de que un atacante explote la vulnerabilidad.
• Esté atento a los ataques de phishing. No haga clic en enlaces de fuentes no confiables: personas que no conoce

¿Buscas alternativas a LastPass? Mira las 3 alternativas principales aquí.