Los errores en las extensiones del navegador de LastPass permiten a los piratas informáticos obtener contraseñas

A principios de mes vimos a expertos en ciberseguridad en todas partes en armas con respecto a las filtraciones de Vault 7, donde todo, desde herramientas de piratería por parte de la CIA hasta su exploración de la “magia de los memes”,  se vertió en WikiLeaks para que el mundo lo viera.

Apenas han pasado unas pocas semanas, y marzo sigue siendo un mes lleno de acción, ya que los errores en las extensiones del navegador de LastPass permitirían a los piratas informáticos tomar contraseñas de usuarios desprevenidos.

Los insectos

Tavis Ormandy, miembro del Proyecto Zero de Google, descubrió un error en la extensión de Google Chrome de LastPass el lunes. El primer error, que permite a los piratas informáticos escribir en código mientras secuestran la comunicación de su computadora con el servidor al que está iniciando sesión y obtienen acceso a sus contraseñas, se puede encontrar en este informe  que también contiene su código de prueba de concepto en caso de que usted ‘ estás interesado.

El otro error encontrado por Ormandy fue en la versión 3.3.2 de la extensión de Firefox de LastPass (más antigua, pero aún muy popular). Permite a los piratas informáticos ejecutar un script universal entre sitios para revelar la contraseña de un usuario a través de alertas.

El martes, LastPass hizo que el dominio de servicio interno responsable de transferir la información de autenticación pareciera inexistente (por ejemplo, NXDOMAIN-ing) mientras investigaban el problema, luego publicaron un anuncio el miércoles diciendo que solucionaron los problemas en la extensión de Chrome.

En lo que respecta a la extensión de Firefox, la dejaron como está, ya que la rama de la versión 3.x se retirará en abril de todos modos. Para ser claros, esto no es una acusación. Lo han declarado abiertamente en su anuncio: “ Este error se informó a nuestro equipo el año pasado y se solucionó en ese momento. Sin embargo, la solución no se envió a nuestra rama heredada de Firefox 3.3.x; esta rama está programada para su retiro formal en abril.

Lo que debes hacer

Si utiliza los servicios de LastPass, le sugiero que se asegure de que las extensiones de su navegador estén lo más actualizadas posible. Aparte de eso, no hay ninguna amenaza inmediata por la que alarmarse. En general, debe hacer esto con todas sus extensiones. De forma predeterminada, tanto Chrome como Firefox realizarán estas actualizaciones por usted, por lo que si ha optado por no participar, tal vez ahora sea un buen momento para pensarlo dos veces.

Sin embargo, existe una preocupación mayor …

Decir esto ciertamente no ganará puntos a nadie en el clima actual de la industria tecnológica, pero hay que decirlo: la conveniencia y la seguridad suelen ser una dicotomía. Uno de nuestros comentaristas más ávidos hizo una declaración similar anteriormente cuando informamos sobre las filtraciones de Vault 7 de la CIA.

A medida que nos volvemos más íntimos (por ejemplo, compartiendo nuestras contraseñas, nuestra información personal, etc.) con la tecnología que usamos, estamos dando a los piratas informáticos una forma más de comprometernos. Las infracciones ocurren porque confiamos abiertamente en las tecnologías incluso antes de preguntarnos si pueden protegernos de daños.

LastPass es un servicio que hace todo lo posible para asegurarse de que sus usuarios puedan confiarle sus contraseñas, las mismas claves de su existencia en línea. Pero con el debido respeto hacia ellos, tenemos que preguntarnos: ¿qué pasa si un día no tenemos la suerte de que se solucione un error antes de que sea explotado? ¿Qué pasa si un problema inesperado en el código de la aplicación permite que un pirata informático ingrese y vea toda su información a la vista?

Las intrusiones a LastPass han ocurrido antes, la más reciente fue en 2015 . Después de eso, en julio de 2016, un hacker más benévolo decidió revelar un error que podría ser explotado al público.

La idea aquí es que nunca debes ser complaciente. Sin duda, muchas de estas hazañas están un poco más publicitadas de lo que deberían. Pero debe tener en cuenta el hecho de que se adentra en un territorio peligroso cada vez que da algo personal a un servicio. A veces, el beneficio supera el riesgo, pero solo usted puede tomar esa determinación una vez que esté completamente informado de lo que se está inscribiendo.

¿Utiliza un administrador de contraseñas ? ¿Qué opina de la posibilidad de que el servicio que está utilizando experimente una infracción? ¡Cuéntanoslo en un comentario!

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario