MARCA DE HORA 1:15 PM HORA ET
La seguridad es un elemento fundamental para la labor que realizamos en LastPass. Nuestra principal prioridad es siempre responder a los últimos informes sobre seguridad y corregirlos en el plazo más breve posible.
Tras las últimas noticias publicadas, queremos tratar con más detalle dos informes de seguridad que se han trasladado a nuestro equipo. Uno de ellos se reveló ayer, mientras que el otro se reveló y corrigió hace más de un año. Ambas vulnerabilidades tenían como objeto engañar al usuario mediante un ataque de phishing para que accediera a un sitio web malicioso.
El investigador de seguridad Mathias Karlsson informó a nuestro equipo de dicha vulnerabilidad hace más de un año, y se corrigió en ese preciso instante. Karlsson publicó sus conclusiones hace poco bajo la entrada URL parsing bug. Actualizamos todos los clientes para navegadores y Karlsson confirmó que la actualización se había llevado a cabo, sin que nuestros usuarios tuvieran que adoptar ninguna medida.
El segundo informe lo envió ayer Tavis Ormando, investigador del Google Security Team, quien se puso en contacto con nuestro equipo para avisar de un fallo de secuestro de mensajes que afectaba al complemento para Firefox de LastPass. En primer lugar, el atacante tendría que lograr que el usuario de LastPass visitara un sitio web malicioso. Una vez logrado este objetivo, Ormandy demostró que el sitio web podría ejecutar acciones de LastPass, como eliminar elementos, sin que el usuario tuviera constancia de ello. Como se indica a continuación, el problema se ha resuelto y se ha enviado una actualización con una corrección a todos los usuarios de Firefox que utilizan LastPass 4.0.
Otras recomendaciones
Somos conscientes de que la comunidad de LastPass se toma la seguridad muy en serio, pero no queremos dejar pasar la oportunidad de recordar que LastPass recomienda encarecidamente adoptar las siguientes medidas de seguridad generales en lo que respecta a la seguridad en Internet:
- Cuidado con los ataques de phishing. No haga clic en vínculos de gente que no conozca o que, a pesar de que parecen provenir de personas y empresas en las que confía, su contenido le resulta extraño o ilógico.
- Utilice una contraseña distinta y única para todas sus cuentas en Internet.
- Utilice para su cuenta de LastPass una contraseña maestra fiable y segura que nadie más sepa, ni siquiera nosotros.
- Active la autenticación de doble factor para LastPass y otros servicios, como su banco, e-mail, Twitter, Facebook, etc.
- Mantenga su máquina limpia utilizando un antivirus y manteniendo el software actualizado.