Fallo de seguridad en LastPass permitía robar todas las contraseñas

vulnerabilidad lastpass

LastPass, una de las plataformas más populares para guardar y gestionar las contraseñas, ha informado de que ha arreglado dos agujeros de seguridad que podían permitir que un atacante robase todas las contraseñas de un usuario con un solo clic. 

La compañía ha lanzado un comunicado en su blog oficial a raíz de que Mathias Karlsson, el investigador que reportó uno de los bugs, publicase la historia en su web. LastPass asegura que la seguridad es su primera prioridad, y ha detallado las características de los errores. 

El primero de ellos fue el que reveló Karlsson, quien se lo comunicó al equipo del administrador de contraseñas hace más de un año. El error se producía porque el código de análisis de la URL era defectuoso. Como consecuencia, un atacante podía utilizar los credenciales del llavero de LastPass en páginas web fraudulentas, con la posibilidad de robar las claves de los principales servicios online de forma sencilla y en tiempo récord.

Karlsson explica que informó del fallo de seguridad a la compañía a través de su página web. Asegura que el caso fue tratado de manera profesional, que LastPass lo solucionó en un día y que le dieron 1.000 dólares como recompensa por su reporte. 

El segundo error de seguridad fue reportado ayer por Tavis Ormandy, un investigador de Google. El problema se encontraba en la extensión de LastPass para Firefox. Para explotar el bug, el atacante tendría que atraer a la víctima hasta un sitio web malicioso, y una vez allí la página podía ejecutar acciones en la aplicación en segundo plano a espaldas del usuario.

Así funcionan las apps para gestionar contraseñas

Este segundo fallo también ha sido resuelto mediante una actualización para todos los usuarios de Mozilla Firefox que utilicen LastPass 4.0. Si tú eres uno de ellos, comprueba que tienes la versión actualizada a la 4.1.21.a. 

El hecho de que aparezcan bugs en este tipo de aplicaciones no significa que sean poco seguras. Tal como señala Karlsson, los gestores de contraseñas son siempre una alternativa más segura a la reutilización de claves, por ejemplo.