Eressea Solutions > LastPass es vulnerable a los ataques de phishing: cómo evitar que te roben las contraseñas

LastPass es vulnerable a los ataques de phishing: cómo evitar que te roben las contraseñas

Publicado el: 21 de enero, 2016

lastpassnuevoEl sábado pasado, un experto en seguridad llamado Sean Cassidy consiguió sorprender a un grupo de hackers en su charla de la convención SchmooCon: los usuarios de LastPass, un popular gestor de contraseñas, son vulnerables a un sencillo ataque de phishing que puede exponer todos sus datos.

En el caso de Chrome, la interfaz de LastPass funciona dentro del navegador. Cuando un usuario inicia sesión, lo hace introduciendo su contraseña maestra directamente en una ventana de Chrome. Cassidy demostró que una web maliciosa podría crear una notificación falsa exactamente igual a la que mostraría LastPass cuando hace falta iniciar sesión. Entonces sería trivial convencer al usuario de que introdujera su contraseña maestra en una web externa a LastPass, y también la clave temporal de la verificación en dos pasos si hiciera falta. Con estos datos, el atacante procedería a descargar todas las contraseñas que el usuario tiene almacenadas en la nube de LastPass.

lastpass2Fallo de diseño

No es exactamente un agujero de seguridad sino un fallo de diseño: es fácil engañar a los usuarios de Chrome porque LastPass funciona como una extensión del navegador y no como una aplicación nativa. La compañía fue notificada de la vulnerabilidad en noviembre y respondieron implementando un sistema que avisa al usuario de que ha introducido su contraseña en una página que externa a LastPass. Sean Cassidy cree que esto no es suficiente, porque el atacante puede interceptar y desactivar esos avisos.

¿Qué hacer para evitar phishing?

Esto es lo que puedes que hacer para evitar un ataque de phishing:

  • Comprueba si sigues logueado en LastPass: Una notificación falsa te hará creer que no estás logueado y necesitas iniciar sesión en LastPass. Sin embargo, LastPass se ha actualizado para evitar que una página maliciosa cierre la sesión, así que lo más probable es que sigas dentro. Puedes comprobarlo mirando en la barra del navegador.
  • No uses tu contraseña maestra de LastPass en otros servicios: Especialmente el email. LastPass tiene un doble sistema de verificación, por un lado la verificación en dos pasos y por otro la verificación por email cuando se produce un inicio de sesión desde una ubicación desconocida. Esto previene que te roben las contraseñas del almacén desde un ordenador que nunca has usado, excepto en un caso: si tu contraseña maestra es igual a la contraseña de tu email.
  • En última instancia, cambia de navegador: Puedes cambiar Chrome por Firefox, donde los ataques de phishing son más evidentes porque las notificaciones de LastPass aparecen fuera del navegador.

LastPass ha anunciado que trabajan en mejorar su sistema de notificaciones. También han pedido a Google mejorar la manera en la que las extensiones de Chrome gestionan las notificaciones.

Fuente: Es.gizmodo.com

Relacionado

6 de febrero, 2017

Google superó a Apple como la marca más valiosa tras cinco años

El índice Global 500 de Brand Finance estableció el valor de la marca de Google en USD 109.500 millones, un 24% por encima en 2016 (desde USD 88.200 millones), mientras que Apple descendió de 145.900 millones a 107.000 millones de dólares. Apple perdió el podio tras cinco años como líder este índice, puesto que Google […]

17 de febrero, 2016

Apple se niega a ayudar al FBI a desbloquear el iPhone de un terrorista

En diciembre, 14 personas fueron asesinadas a tiros, y 22 más resultaron heridas, al sur de California, uno de los perpetradores tenía un iPhone 5c, que el FBI no puede desbloquear debido a las medidas de seguridad de iOS 9.

Custom Solutions for your business

Experience, Quality and Security

Contact us