Cada vez estamos suscritos a más servicios por internet. Y lo cierto es que cada vez tenemos que recordar más contraseñas. Contraseñas que, no lo olvidemos, tienen que ser más complejas que una fecha de cumpleaños y menos que la clave de acceso a tu router. Pero ocurre que nuestra memoria no da para más.
Para dar solución a este problema del primer mundo tenemos algo interesante: los gestores de contraseñas. Y aunque prometen hacernos la vida más fácil, parece que no siempre es así. Hoy hemos sabido que un conocido gestor de contraseñas, LastPass, tenía un agujero que permitía robar las claves de los usuarios.
Dice el dicho popular que en casa del herrero, cuchara de palo. Y así se ha confirmado en este caso, porque el fallo – potencialmente grave – dejaba expuestas las contraseñas que se habían usado por última vez desde la extensión de LastPass para el navegador.
LastPass could leak the last used credentials due to a cache not being updated. This was because you can bypass the tab credential cache being populated by including the login form in an unexpected way! https://t.co/bfLdDzSWS5
— Tavis Ormandy (@taviso) September 16, 2019
LastPass ha puesto en riesgo las contraseñas de los usuarios
LastPass funciona, como decíamos, a través de una extensión para navegadores que se instala directamente en el navegador. El fallo, localizado por un investigador de Google Project Zero llamado Tavis Ormandy el pasado 30 de agosto, es un fallo que técnicamente se denomina de clickjacking.
Este no consiste en otra cosa que en engañar al usuario, con el objetivo de obtener información confidencial o de hacerse con el control de su equipo.
El equipo de LastPass ha reconocido el error, pero indican que para que un cibercriminal se haga con las contraseñas del usuario, antes tendrán que llevarse a cabo una serie de acciones: completar una contraseña a través de LastPass, visitar un sitio que esté comprometido y finalmente caer en el engaño para hacer clic en la página en varias ocasiones.
Los usuarios afectados son, exclusivamente, los que navegan a través de Chrome y Opera, de modo que para corregir el problema, LastPass ha puesto en marcha una actualización para todos estos navegadores.
Si usas LastPass y además sueles navegar a través de alguno de estos dos navegadores, será necesario que te actualices a una nueva versión. La extensión en cuestión debería tener el número 4.33.0 para Chrome y Opera. Y aunque Firefox no es uno de los navegadores afectados, deberías actualizarte también a la versión 4.33.4.2.
Cómo se ejecuta el fallo de LastPass
Según han explicado los expertos, el fallo detectado en LastPass podría explotarse a través de la ejecución de un código malicioso de JavaScript. Este podría incrustarse en cualquier página web, camuflado detrás de una URL de Google Translate.
Si el atacante consigue engañar a los usuarios para que visiten el enlace en cuestión, podría fácilmente hacerse con las contraseñas que el usuario hubiera introducido con anterioridad.
¿Qué tengo que hacer si tengo instalado LastPass?
Lo primero es lo primero: actualiza la extensión que tienes instalada en tu navegador, asegúrandote de que tienes el número de versión que te hemos indicado, que es el que contiene la corrección a la vulnerabilidad detectada. Es importante que tengas en cuenta que los gestores de contraseñas son una buena opción para mantener bien guardadas bajo llave las claves para acceder a tus principales servicios online.
Es vital, eso sí, que añadas un plus de seguridad. Te recomendamos no conformarte con tener configurada una contraseña única de acceso, sino, siempre que sea posible, habilitar la autenticación en dos pasos para asegurarte de que nadie puede acceder a tu correo electrónico, redes sociales, cuentas bancarias u otros servicios.