El s√°bado pasado, un experto en seguridad llamado Sean Cassidy consigui√≥ sorprender a un grupo de hackers en su charla de la convenci√≥n SchmooCon: los usuarios de LastPass, un popular gestor de contrase√Īas, son vulnerables a un sencillo ataque de phishing que puede exponer todos sus datos.

Advertisement

En el caso de Chrome, la interfaz de LastPass funciona dentro del navegador. Cuando un usuario inicia sesi√≥n, lo hace introduciendo su contrase√Īa maestra directamente en una ventana de Chrome. Cassidy demostr√≥ que una web maliciosa podr√≠a crear una notificaci√≥n falsa exactamente igual a la que mostrar√≠a LastPass cuando hace falta iniciar sesi√≥n. Entonces ser√≠a trivial convencer al usuario de que introdujera su contrase√Īa maestra en una web externa a LastPass, y tambi√©n la clave temporal de la verificaci√≥n en dos pasos si hiciera falta. Con estos datos, el atacante proceder√≠a a descargar todas las contrase√Īas que el usuario tiene almacenadas en la nube de LastPass.

No es exactamente un agujero de seguridad sino un fallo de dise√Īo: es f√°cil enga√Īar a los usuarios de Chrome porque LastPass funciona como una extensi√≥n del navegador y no como una aplicaci√≥n nativa. La compa√Ī√≠a fue notificada de la vulnerabilidad en noviembre y respondieron implementando un sistema que avisa al usuario de que ha introducido su contrase√Īa en una p√°gina que externa a LastPass. Sean Cassidy cree que esto no es suficiente, porque el atacante puede interceptar y desactivar esos avisos.

Advertisement

Esto es lo que puedes que hacer para evitar un ataque de phishing:

  • Comprueba si sigues logueado en LastPass: Una notificaci√≥n falsa te har√° creer que no est√°s logueado y necesitas iniciar sesi√≥n en LastPass. Sin embargo, LastPass se ha actualizado para evitar que una p√°gina maliciosa cierre la sesi√≥n, as√≠ que lo m√°s probable es que sigas dentro. Puedes comprobarlo mirando en la barra del navegador.
  • No uses tu contrase√Īa maestra de LastPass en otros servicios: Especialmente el email. LastPass tiene un doble sistema de verificaci√≥n, por un lado la verificaci√≥n en dos pasos y por otro la verificaci√≥n por email cuando se produce un inicio de sesi√≥n desde una ubicaci√≥n desconocida. Esto previene que te roben las contrase√Īas del almac√©n desde un ordenador que nunca has usado, excepto en un caso: si tu contrase√Īa maestra es igual a la contrase√Īa de tu email.
  • En √ļltima instancia, cambia de navegador: Puedes cambiar Chrome por Firefox, donde los ataques de phishing son m√°s evidentes porque las notificaciones de LastPass aparecen fuera del navegador.

Advertisement

LastPass ha anunciado que trabajan en mejorar su sistema de notificaciones. También han pedido a Google mejorar la manera en la que las extensiones de Chrome gestionan las notificaciones. [LastPass vía Softpedia]

***

Psst! también puedes seguirnos en Twitter y Facebook :)