Contraseñas de LastPass, expuestas en Internet Explorer

LastPass

Como decian las abuelas, hay pocas cosas seguras en esta vida: que uno nace, y que para morir sólo hace falta estar vivo. No es posible confiar del todo en nada, ni siquiera en los sistemas de contraseñas que aseguran brindar toda la protección a nuestros contenidos.

Incluso, hay quienes reconocen que una contraseña no es garantía de nada. ¿La prueba de ello? El navegador de Google guarda las contraseñas ingresadas a menos que se cierren todas las sesiones y lo más irónico es que los representantes de la compañía norteamericana no arreglarán el fallo porque no piensan brindar una sensación de seguridad falsa. 

Ahora, un fallo en el software de LastPass habría expuesto algunas de las contraseñas del sistema el lunes de esta semana. Afortunadamente, el daño no pasó a mayores ya que solamente habría afectado a los usuarios que trabajan con el navegador de Microsoft, Internet Explorer, y cuya versión del software de seguridad fuese igual o inferior a 2.0.20

Ya los representantes de la empresa encargada de almacenar contraseñas en un servidor seguro online y brindar acceso automático a diferentes sitios de Internet aseguran que el fallo está arreglado. Los mismos afirmaron que aunque el problema era bastante pequeño, lo más importante para ellos es la seguirdad y privacidad de quienes utilizan el generador de contraseñas. 

En caso de ser uno de los afectados por las inconveniencias del sistema, puedes descargar la actualización al software aquí. ¿Cómo se descubrió el fallo?

Un usuario del sistema avisó del problema al portal PC Magazine, quienes a su vez informaron de la situación a la compañía norteamericana. El problema en el software fue causado por una actualización reciente al sistema y permitía que al momento de realizar una descarga de la memoria o "memory dump" en el navegador, las contraseñas guardadas en LastPass se podían leer en texto simplificado, no en estrellitas

Cabe la posibilidad que cuando el gestor de contraseñas completa automáticamente algunos campos en el navegador, las contraseñas sin cifrar permanecen alojadas en la memoria del navegador. Sin embargo, aquellas contraseñas guardadas en sesiones anteriores no se revelan. ¿Porqué? Cerrar la sesión "limpia" la memoria del navegador, eliminando las palabras seguras guardadas. 

Además, aquellas contraseñas que no se hayan utilizado para autocompletar algún campo permanecen cifradas y no pueden ser recuperadas a través de una descarga de la memoria

Si bien la posibilidad de un ataque pirata no se descartaría, el chance de efectividad es realmente limitado. Para que un ataque fuese exitoso, el usuario tendría que estar conectado al navegador, ejecutar una descarga de la memoria y localizar las contraseñas-algo que es poco probable, y en caso que sucediese, desafortunado.

En el caso que el atacante pudiese hacer una descarga de memoria de manera remota, ya el asunto tomaría otro color

¿Dependerías de un sistema como estos para generar una contraseña segura? 

Fuente: PC Magazine