Un investigador de seguridad de Google ha detectado un grave agujero de seguridad en LastPass, uno de los principales gestores de contraseñas 'online'. ¿Qué hacer?
¿Eres de los que te olvidas fácilmente de todas tus contraseñas online? ¿Utilizas gestores como LastPass, 1Password o Dashlane 4 para recordarlas? Si es así, deberías plantearte dejar de usarlos durante unos días, al menos sus extensiones para Chrome y Firefox.
El investigador de seguridad de Google Tavis Ormandy ha encontrado un grave fallo de seguridad en las extensiones de Chrome y Firefox de LastPass, uno de los principales gestores de contraseñas. El agujero permitía a una página web maliciosa robar todos tus datos almacenados en LastPass. El fallo de momento solo afecta a este servicio, pero dado que otros gestores funcionan de forma similar con extensiones de navegadores, lo mejor es deshabilitarlas durante unos días hasta que LastPass subsana el fallo... y el resto de gestores se aseguran que no están afectados.
Ormandy ha descrito en su página web todos los detalles técnicos del fallo en LastPass. Se encontraba en concreto en la extensión gratuita de la compañía para los navegadores Chrome y Firefox. Si la tenías instalada y visitabas una página web maliciosa, esta podía acabar robando todos los datos y contraseñas almacenados en el gestor. Has leído bien: solo con navegar en esa página, sin necesidad de hacer clic para descargar nada, podías acabar con todos tus datos robados.
Ormandy ha detectado en las últimas horas un nuevo fallo que afecta a LastPass para la versión 4.1.35 de Firefox
El fallo detectado en Chrome has sido subsanado en las últimas horas, por lo que debería ser seguro seguir utilizándolo. Sin embargo, la actualización de Firefox que corrige el agujero en su extensión, aún no ha sido aprobada por Mozilla, por lo que si usas LastPass en este navegador y con la extensión, deberías deshabilitarla ahora mismo. Y lo peor no acaba ahí: Ormandy ha detectado en las últimas horas un nuevo fallo que afecta a LastPass para la versión 4.1.35 de Firefox.
Dado que Mozilla aún tardará un tiempo en lanzar una actualización para solucionar ambos problemas, y que otros gestores de contraseñas también usan la misma opción de extensiones para los navegadores, lo más sensato es deshabilitar durante unos días cualquier tipo de extensión que uses para este tipo de gestores de contraseñas.
Tanto LastPass como otros gestores (1Password, Dashlane 4...) estarán estos días revisando que sus códigos no están afectados por la vulnerabilidad, por lo que hasta que eso ocurra, lo mejor es dejar de usarlos como extensión en tu navegador. Siguen siendo seguros en principio usarlos directamente o a través del móvil, pero si quieres curarte en salud, mejor evita un tiempo sus extensiones.
