Novedades de seguridad de LastPass

MARCA DE HORA 1:15 PM HORA ET

La seguridad es un elemento fundamental para la labor que realizamos en LastPass. Nuestra principal prioridad es siempre responder a los últimos informes sobre seguridad y corregirlos en el plazo más breve posible.

Tras las últimas noticias publicadas, queremos tratar con más detalle dos informes de seguridad que se han trasladado a nuestro equipo. Uno de ellos se reveló ayer, mientras que el otro se reveló y corrigió hace más de un año. Ambas vulnerabilidades tenían como objeto engañar al usuario mediante un ataque de phishing para que accediera a un sitio web malicioso.

El investigador de seguridad Mathias Karlsson informó a nuestro equipo de dicha vulnerabilidad hace más de un año, y se corrigió en ese preciso instante. Karlsson publicó sus conclusiones hace poco bajo la entrada URL parsing bug. Actualizamos todos los clientes para navegadores y Karlsson confirmó que la actualización se había llevado a cabo, sin que nuestros usuarios tuvieran que adoptar ninguna medida.

El segundo informe lo envió ayer Tavis Ormando, investigador del Google Security Team, quien se puso en contacto con nuestro equipo para avisar de un fallo de secuestro de mensajes que afectaba al complemento para Firefox de LastPass. En primer lugar, el atacante tendría que lograr que el usuario de LastPass visitara un sitio web malicioso. Una vez logrado este objetivo, Ormandy demostró que el sitio web podría ejecutar acciones de LastPass, como eliminar elementos, sin que el usuario tuviera constancia de ello. Como se indica a continuación, el problema se ha resuelto y se ha enviado una actualización con una corrección a todos los usuarios de Firefox que utilizan LastPass 4.0.

Otras recomendaciones

Somos conscientes de que la comunidad de LastPass se toma la seguridad muy en serio, pero no queremos dejar pasar la oportunidad de recordar que LastPass recomienda encarecidamente adoptar las siguientes medidas de seguridad generales en lo que respecta a la seguridad en Internet:

  • Cuidado con los ataques de phishing. No haga clic en vínculos de gente que no conozca o que, a pesar de que parecen provenir de personas y empresas en las que confía, su contenido le resulta extraño o ilógico.
  • Utilice una contraseña distinta y única para todas sus cuentas en Internet.
  • Utilice para su cuenta de LastPass una contraseña maestra fiable y segura que nadie más sepa, ni siquiera nosotros.
  • Active la autenticación de doble factor para LastPass y otros servicios, como su banco, e-mail, Twitter, Facebook, etc.
  • Mantenga su máquina limpia utilizando un antivirus y manteniendo el software actualizado.

Desde aquí queremos dar las gracias de nuevo a Tavis y a Mathias, y a otros miembros de la comunidad de la seguridad, por enviarnos sus informes de un modo responsable. Apreciamos su trabajo, ya que nos ayuda a crear un producto más sólido y seguro.

____

Queremos compartir con la comunidad de LastPass dos importantes correcciones que hemos implementado en el sistema como respuesta a dos recientes informes de seguridad. Nuestro equipo colaboró directamente con los investigadores de seguridad para verificar los informes y facilitar una corrección a los usuarios de LastPass.

El informe más reciente solo afecta a los usuarios de Firefox. Si es usuario de Firefox y utiliza LastPass 4.0 o una versión posterior, se enviará a través del navegador una actualización que contiene dicha corrección en la versión 4.1.21a. Si desea actualizar el cliente de forma proactiva, puede hacerlo desde el siguiente vínculo de descarga: https://lastpass.com/lastpassffx. Puede comprobar la versión que está ejecutando en el complemento para navegador de LastPass en la ruta de menú Más opciones > Acerca de LastPass. Si utiliza LastPass 3.0, esta versión no se ha visto afectada y no es necesario que actualice.

El resto de navegadores no se han visto afectados por este informe, y sus usuarios no tienen que hacer nada.

Como siempre, agradecemos el trabajo que la comunidad de seguridad realiza poniendo nuestro producto a prueba y garantizando que ofrecemos un servicio seguro a nuestros usuarios. En breve publicaremos en esta sección más información sobre estas correcciones.