El sábado pasado, un experto en seguridad llamado Sean Cassidy consiguió sorprender a un grupo de hackers en su charla de la convención SchmooCon: los usuarios de LastPass, un popular gestor de contraseñas, son vulnerables a un sencillo ataque de phishing que puede exponer todos sus datos.

En el caso de Chrome, la interfaz de LastPass funciona dentro del navegador. Cuando un usuario inicia sesión, lo hace introduciendo su contraseña maestra directamente en una ventana de Chrome. Cassidy demostró que una web maliciosa podría crear una notificación falsa exactamente igual a la que mostraría LastPass cuando hace falta iniciar sesión. Entonces sería trivial convencer al usuario de que introdujera su contraseña maestra en una web externa a LastPass, y también la clave temporal de la verificación en dos pasos si hiciera falta. Con estos datos, el atacante procedería a descargar todas las contraseñas que el usuario tiene almacenadas en la nube de LastPass.

No es exactamente un agujero de seguridad sino un fallo de diseño: es fácil engañar a los usuarios de Chrome porque LastPass funciona como una extensión del navegador y no como una aplicación nativa. La compañía fue notificada de la vulnerabilidad en noviembre y respondieron implementando un sistema que avisa al usuario de que ha introducido su contraseña en una página que externa a LastPass. Sean Cassidy cree que esto no es suficiente, porque el atacante puede interceptar y desactivar esos avisos.

Advertisement

Advertisement

Esto es lo que puedes que hacer para evitar un ataque de phishing:

  • Comprueba si sigues logueado en LastPass: Una notificación falsa te hará creer que no estás logueado y necesitas iniciar sesión en LastPass. Sin embargo, LastPass se ha actualizado para evitar que una página maliciosa cierre la sesión, así que lo más probable es que sigas dentro. Puedes comprobarlo mirando en la barra del navegador.
  • No uses tu contraseña maestra de LastPass en otros servicios: Especialmente el email. LastPass tiene un doble sistema de verificación, por un lado la verificación en dos pasos y por otro la verificación por email cuando se produce un inicio de sesión desde una ubicación desconocida. Esto previene que te roben las contraseñas del almacén desde un ordenador que nunca has usado, excepto en un caso: si tu contraseña maestra es igual a la contraseña de tu email.
  • En última instancia, cambia de navegador: Puedes cambiar Chrome por Firefox, donde los ataques de phishing son más evidentes porque las notificaciones de LastPass aparecen fuera del navegador.

LastPass ha anunciado que trabajan en mejorar su sistema de notificaciones. También han pedido a Google mejorar la manera en la que las extensiones de Chrome gestionan las notificaciones. [LastPass vía Softpedia]

***

Psst! también puedes seguirnos en Twitter y Facebook :)