Vulnerabilidad de día cero en LastPass

29/07/2016360TS

El investigador Tavis Ormandy, del grupo Google Project Zero, ha reportado una vulnerabilidad de día cero crítica en la aplicación de gestión de contraseñas online LastPass. Este servicio ayuda a gestionar los passwords de un usuario, permitiéndole tener que recordar únicamente una contraseña maestra para desbloquear el resto. De esta manera, LastPass completará automáticamente las credenciales de cada sitio web guardado.

Vulnerabilidad de día cero en LastPass

Descubierta vulnerabilidad de día cero

Una vulnerabilidad de día cero es un fallo en un programa, desconocido por los programadores de dicha aplicación. En el caso de LastPass, explotar esta vulnerabilidad pondría en riesgo la cuenta del usuario, permitiendo a un atacante acceder al conjunto de contraseñas almacenadas en este servicio.

Ormandy descubrió varios fallos de seguridad en la aplicación. Explotando estas vulnerabilidades, fue capaz de robar las contraseñas de usuario almacenadas en el programa. La vulnerabilidad que ha sido recientemente arreglada, se encontraba concretamente en la extensión de Firefox de LastPass, donde había un fallo de diseño en la comunicación entre componentes con y sin privilegios.

Gracias a la contribución de Ormandy, esta vulnerabilidad ha sido parcheada por LastPass en un tiempo muy reducido. La empresa ya ha lanzado el parche a todos los usuarios de Firefox que usan LastPass 4.0, según un post en su blog. Además, LastPass también a recompensado a Ormandy con $1000 para agradecer su colaboración.

Reduce el riesgo de hackeo

Tanto si utilizas gestores de contraseñas como si no, estas son algunas de las recomendaciones que deberías seguir para reducir el riesgo de que alguien te robe tus cuentas o contraseñas:
– Utiliza contraseñas únicas para cada cuenta online.
– Crea contraseñas fuertes, que contengan caracteres alfanuméricos, símbolos, mayúsculas y minúsculas.
– Activa la autenticación en dos pasos en aquellos servicios que lo permitan.
– Instala las últimas actualizaciones de seguridad en tus programas.
Instala un antivirus, y mantenlo actualizado.