Vulnerabilidad en LastPass: vigila tus contraseñas

lastpass_logo

Seguro que si preguntamos a un grupo de usuarios elegidos al azar cuales son sus mayores preocupaciones en materia de seguridad informática la gestión de las contraseñas ocupa uno de los primeros puestos. El uso diario de decenas de servicios online así como de aplicaciones de todo tipo ha hecho que debamos recordar una cantidad de contraseñas cada vez mayor, eso si no caemos en la tentación de repetirlas.

Así las cosas, no es de extrañar que cada vez que se produce una filtración o el robo de alguna base de datos que incluye contraseñas se repitan los mismos consejos, entre los cuales se encuentra el revisar que nuestras contraseñas sean lo suficientemente robustas y que no las hayamos usado en más de un sitio.

Sin embargo, a día de hoy esta gestión de las contraseñas resulta tediosa para la gran mayoría de usuarios. Venimos escuchando desde hace años que este sistema de autenticación va a desaparecer pero aun no se ha presentado un sustituto que las elimine para siempre y nos haga la vida más fácil sin tener que sacrificar seguridad. Por supuesto, hay alternativas a las contraseñas tradicionales pero su implementación aun dista mucho de ser generalizada.

Los gestores de contraseñas al rescate

Precisamente para facilitar la vida a los sufridos usuarios que tienen que recordar numerosas contraseñas diferentes aparecieron hace años los gestores de contraseñas, unas útiles aplicaciones que permiten gestionar la seguridad de nuestras credenciales con tan solo acordarse de una sola contraseña maestra y facilitando la introducción del resto cuando accedemos a un servicio online.

Uno de los gestores de contraseñas más utilizados durante los últimos años ha sido LastPass. De hecho, se hizo tan popular que en 2015 fue adquirida por LogMeIn por la nada despreciable cantidad de 125 millones de dólares. Esta creciente popularidad ha hecho que cada vez más usuarios confíen en esta aplicación que dispone de versiones tanto gratuitas como de pago.

Esta popularidad también ha provocado que LastPass y otras aplicaciones similares se encuentren en el punto de mira de varios investigadores, investigadores que han descubierto numerosas vulnerabilidades en este y otros gestores de contraseñas y las ha reportado a los fabricantes para que las solucionen.

Un nuevo fallo de seguridad

Así pues, durante los últimos meses hemos visto como varias investigaciones han expuesto agujeros de seguridad que podrían aprovecharse para comprometer la seguridad de las contraseñas almacenadas en la aplicación LastPass. Una de estas investigaciones fue presentada en la pasada edición de BlackHat Europe por Martin Vigo y Alberto García, mientras que a principios de año descubríamos LostPass, vulnerabilidad descubierta por el investigador Sean Cassidy.

Ahora es el turno para Tavis Ormandy, el conocido investigador del Project Zero de Google el que ha anunciado el descubrimiento de una nueva vulnerabilidad en LastPass. Debido a la política de comunicación responsable, no se han dado detalles de la vulnerabilidad para que esta pueda ser solucionada sin que nadie pueda aprovecharse de la misma para robar contraseñas a los usuarios.

El único detalle que ha dado Tavis al respecto es que se trata de una vulnerabilidad que permitiría la ejecución remota de código (uno de los peores escenarios). De esta forma, un atacante que aprovechase este fallo de seguridad podría modificar el comportamiento de la aplicación y acceder a los datos privados almacenados en ella.

Tomando las medidas adecuadas

A pesar de la gravedad de la vulnerabilidad, el hecho de que haya sido descubierta por alguien como Tavis y que Google ya esté colaborando con LastPass para solucionarla son buenas noticias. Prácticamente todas las aplicaciones y sistemas operativos tienen vulnerabilidades que son descubiertas periódicamente. Es precisamente gracias a la labor de investigadores como los que hemos comentado en este artículo que estos agujeros de seguridad se descubren y se solucionan.

Como usuarios debemos asegurarnos de mantener nuestros sistemas y aplicaciones actualizados para evitar que estos agujeros de seguridad puedan comprometer nuestra información privada. Por eso es importante hacer caso a los mensajes de actualización que aparecen periódicamente en nuestro sistema indicando que hay algún parche de seguridad pendiente de ser instalado y hacerlo lo antes posible.

Conclusión

El anuncio de esta vulnerabilidad no debe ser considerado como algo extraño sino más bien como algo natural. Si somos usuarios de LastPass, lo único que debemos hacer es estar atentos para instalar el parche de seguridad o la nueva versión que solucione este fallo tan pronto como esté disponible. Gracias a la comunidad de investigadores que descubren y reportan estas vulnerabilidades nuestros sistemas son un poco más seguros.

Josep Albors

Petya empieza a ofrecer su ransomware como un servicio y filtra claves de Chimera