Cómo protegerse de la nueva amenaza de pirateo de LastPass

2024 Autor: Malcolm Clapton | [email protected]. Última modificación: 2023-12-17 03:53

Ayer, se descubrió una forma real de robar datos del popular administrador de contraseñas de LastPass. Te recomendamos que leas este artículo para no caer en el anzuelo.

Usamos muchos servicios en línea y aplicaciones web, cada uno de los cuales requiere diferentes inicios de sesión y contraseñas por motivos de seguridad. Es imposible tenerlos todos en la cabeza, razón por la cual los administradores de contraseñas están muy extendidos. Proporcionan almacenamiento confiable y uso conveniente de inicios de sesión y contraseñas no solo para servicios en línea, sino también para sistemas de pago, cuentas bancarias, etc. Por lo tanto, filtrar o descifrar dicho administrador de contraseñas puede convertirse en un gran problema para muchos usuarios.

Una de las aplicaciones más populares de este tipo es LastPass. Esta es una solución realmente excelente que ha resistido la prueba del tiempo y numerosos ataques de piratas informáticos. Sin embargo, ayer, el especialista en seguridad informática Sean Cassidy descubrió la posibilidad de un ataque de phishing en LastPass. Inteligentemente lo llamó LostPass (contraseñas perdidas).

En resumen, la vulnerabilidad encontrada tiene este aspecto. Primero, el atacante lo atrae a su sitio, que muestra una notificación falsa (!) De que su sesión ha expirado y debe iniciar sesión nuevamente. Probablemente hayas visto notificaciones similares de LastPass.

LastPass solicita iniciar sesión nuevamente

Dado que la notificación es falsa, hacer clic en el botón Intentar de nuevo lo llevará a una página especialmente diseñada que se ve exactamente como un formulario estándar de inicio de sesión y contraseña de LastPass. Incluso tendrá una dirección casi igual a la que suelen tener las páginas de servicio del navegador abiertas por las extensiones instaladas. Salvo un pequeño detalle que he destacado en la captura de pantalla. Estoy seguro de que la mayoría de los usuarios no prestarán atención a una nimiedad como esta.

A continuación, ingresa su nombre de usuario y contraseña en esta página para iniciar sesión en LastPass, e inmediatamente caen en manos de los piratas informáticos. Como resultado, estos últimos tienen acceso completo a todos sus sitios y credenciales. El ataque funciona incluso si tiene habilitada la autenticación de dos factores, solo la secuencia de acciones del pirata informático avanzará un paso más. Puede leer más sobre cómo funciona LostPass (en inglés).

Por supuesto, se pregunta cómo puede protegerse de este peligro. Hasta que los desarrolladores de LastPass tomen medidas para prevenir tales ataques de phishing, los usuarios pueden deshabilitar temporalmente la extensión del navegador de este servicio. Sí, esto es un inconveniente y lo obligará a copiar manualmente las contraseñas requeridas de la página web de LastPass. Una opción más radical es encontrar una alternativa equivalente para almacenar contraseñas y datos confidenciales.

¿Sigue usando LastPass o ha cambiado a otro administrador de contraseñas?