Protegiéndose en un Ordenador Comprometido

By November 18, 2015 Sin categorizar No Comments

La semana pasada, los investigadores de seguridad Martín Vigo y Alberto García demostraron cómo puede potencialmente poner a LastPass en riesgo un ordenador comprometido. Las buenas noticias es que su investigación se nos envió primero a nosotros hace alrededor de un año, y nuestro equipo tomó acciones inmediatas para implementar protecciones adicionales. Valoramos y agradecemos investigaciones que nos ayudan a mejorar y fortalecer LastPass. Hemos implementado nuevas opciones de seguridad, como expirar dispositivos de confianza cada 30 días en navegadores y apps móviles, reforzar la recuperación de la cuenta con la opción de recuperación por SMS, y avisos más claros en contra de usar “recordar contraseñas

Aunque continuamos haciendo todo lo que está en nuestro poder para fortalecer LastPass, también creemos que ayudar a los usuarios de LastPass a entender no sólo las opciones de seguridad que ofrecemos, sino también como pueden proteger mejor sus dispositivos de malware y otras amenazas.

Aquí tiene nuestras recomendaciones para mantener LastPass, y su tecnología, más segura:

  • Usar las características “Recordar contraseña maestra” con precaución. Si está preocupado sobre el escenario del malware que pueda comprometer su ordenador, simplemente no use esta opción.
  • Instale la versión binaria de LastPass. Ejecutando la versión “binaria” de LastPass proporciona una protección adicional. El componente “binario” nos permite añadir más seguridad y funcionalidad mediante la comunicación directa con el sistema operativo. Presione el Icono de LastPass > Instrumentos > Alrededor de, si el estatus binario es “falso”, use el botón para activarlo, o use el instalador completo para descargar LastPass.
  • Usar la recuperación por SMS. Esto añade una capa adicional de protección al requerir otro paso de verificación antes de que la contraseña maestra pueda resetearse en su cuenta de LastPass.
  • Activa la autenticación de dos factores. Incluso si alguien soba su contraseña maestra, todavía no pueden acceder a su cuenta sin los datos adicionales de autenticación de dos factores.
  • Aumentar las repeticiones de contraseñas hasta 5000 o más. Podemos mejorar de manera incremental la seguridad al incrementar el número de repeticiones usados para fortalecer la encriptación para las cuentas de usuarios. Entre en el panel de “Configuración de la Cuenta” de su bóveda de LastPass, y asegúrese de que se ha aumentado a 5,000. Esto también ocurre automáticamente si actualiza su contraseña maestra.
  • Desactivar la recuperación de la cuenta, si se prefiere. Desactívelo en el menú de Preferencias de la extensión de navegador de LastPass (esto debe hacerse en cada navegador) o con la política de seguridad de toda la organización si usa LastPass Empresa.
  • Use una dirección de email de seguridad. Si no desea usar la recuperación de SMS pero también quiere mitigar el riesgo de que alguien comprometa su cuenta de email, establezca una dirección de email secundaria, de “seguridad” en la Configuración de la Cuenta. Los emails para la recuperación de la cuenta o para desactivar la autenticación multifactorial se enviarán ahí, en lugar de su cuenta principal de email.
  • Restringir el acceso a países de confianza. En su Configuración de Cuenta, asegúrese de restringir el acceso a sólo la(s) ubicación(es) dónde acceda de manera regular a LastPass.
  • Desactive el acceso TOR. TOR se usa para comunicarse de manera anónima en Internet, así que a menudo lo usan hackers. Desactive el acceso a través de TOR en su Configuración de Cuenta de LastPass.
  • Seguir buenas prácticas de seguridad:
    • Use una única, y fuerte contraseña maestra. Nunca reutilice su contraseña maestra, jamás.
    • Mantenga su ordenador limpio ejecutando el antivirus de manera regular.
    • Mantenga actualizado el software, incluyendo navegadores y extensiones.
    • Sea precavido con el phishing y los ataques de ingeniería social.
    • No descargue apps, documentos, o extensiones de gente que no sea de fiar, o incluso de gente de confianza si aparece de la nada o fuera de contexto.
    • Use el Desafío de Seguridad de LastPass para eliminar contraseñas duplicadas y mejorar su seguridad de contraseñas.

Como siempre, permanecemos comprometidos con mejorar la seguridad de LastPass mientras emergen nuevas amenazas. Nuestra misión en curso es proporcionar el gestor de contraseñas más seguro para salvaguardar su vida online, y continuamos invirtiendo todos nuestros recursos en reforzar LastPass.