A principios de semana, un equipo de investigadores descubrieron un fallo importante de seguridad, apodado FREAK, que pone en riesgo las conexiones web seguras y puede exponer potencialmente información sensible. Aunque LastPass no ha sido afectado por la vulnerabilidad, es crítico que los usuarios de LastPass actualicen sus navegadores con parches que pronto estarán disponibles. Aquí está todo lo que necesita saber:
¿Qué es el fallo FREAK?
El fallo FREAK afecta SSL/TLS, el protocolo que crea una conexión segura entre usted y la página web. La conexión segura se crea cuando se conecta con HTTPS y tiene un candado en la barra de dirección de navegador. Ese "candado" significa que sus datos personales están encriptados cuando se mandan a la página web.
FREAK, sin embargo, puede ser exploiteado con un ataque man-in-the-middle. De acuerdo a
freakattack.com, "Permite a un atacante interceptar conexiones HTTPS entre clientes vulnerables [dispositivos] y servidores y forzarles a usar encriptaciones debilitadas, a las cuales el atacante puede acceder para robar o manipular datos sensibles."
El fallo FREAK afecta a la mayoría de navegadores:
- Internet Explorer
- Chrome en Android y Mac OS – Parche disponible en Mac OS
- Safari en Mac OS e iOS – Se espera parche la semana que viene
- Stock Android Browser
- Navegador BlackBerry
- Opera (Mac OS, Linux)
Puede comprobar si su dispositivo o navegador es vulnerable visitando
https://freakattack.com. También han proporcionado una lista de
Alexa’s top domains que han sido afectados por FREAK.
¿Cómo afecta esto a LastPass?
Los usuarios de LastPass están seguros. Nuestros servidores no son vulnerables al fallo FREAK. Como siempre, su bóveda de LastPass está segura, y su contraseña maestra nunca se transmite. LastPass siempre encripta los datos localmente con AES-256 antes de sincronizarlo de manera segura. Vulnerabilidades como esta son exactamente por qué no debe transmitir su contraseña maestra.
Para aquellos que utilicen los navegadores integrados en las aplicaciones móviles de LastPass, usan la plataforma predeterminada del navegador, que se sabe que están afectados. Nuestros navegadores integrados serán actualizados cuando esas plataformas resuelvan el fallo. Mientras tanto, puede navegar de manera segura con Firefox mobile.
La comunicación entre nuestras aplicaciones móviles y nuestras servidores no son vulnerables, lo que significa que no es posible interceptar sus datos de la bóveda cuando vienen y ven de nuestros servidores a sus dispositivos móviles.
Acciones que debe hacer:
Actualizar con todos los parches cuando estén disponibles. Microsoft, Apple, y Google lanzarán parches en los próximos días, por lo que es crítico actualizar su sistema cuando esos parches estén disponibles.
Utilice Firefox para navegar de manera segura. Hasta que los parches estén disponibles para los exploradores afectados mencionados antes, querrá usar Firefox en iOS, Androide, y Mac OS para navegar de manera segura por la web y conectarse a sus cuentas en línea.
Reemplazar contraseñas vulnerables. A pesar de que es muy improbable que haya sido atacado, ya que los dispositivos y webs están parcheadas puede ser un buen momento para cambiar las contraseñas de cualquier cuenta que se haya accedido desde cualquier dispositivo que haya sido vulnerable. También puede usar el
Desafío de Seguridad de LastPass para revisar la fortaleza de sus contraseñas. Nuestro
Auto-Cambio de Contraseña también le ayudará a reemplazar las contraseñas automáticamente. Es importante usar una diferente, fuerte contraseña en cada web, para que la contraseña robada de una web no pueda ser usada para acceder a cualquier otra de sus cuentas.
Como siempre, monitorizaremos la situación mientras acontece y actualizaremos a nuestra comunidad cuando sea necesario.
