A principios de mes, vimos expertos en seguridad cibernética en todas partes en pie de guerra con respecto a las filtraciones de Vault 7 donde todo, desde las herramientas de piratería de la CIA hasta su exploración de la «magia de los memes», se arrojó a WikiLeaks para que el mundo lo vea.
Apenas han pasado unas pocas semanas y marzo continúa siendo un mes lleno de acción, ya que los errores en las extensiones del navegador de LastPass permitirían a los piratas informáticos obtener contraseñas de usuarios desprevenidos.
Los insectos
El lunes, Tavis Ormandy, miembro del Proyecto Cero de Google, descubrió un error en la extensión Google Chrome de LastPass. El primer error, que permite a los piratas informáticos escribir código mientras secuestran la comunicación de su computadora con el servidor en el que está ingresando y obtienen acceso a sus contraseñas, se puede encontrar en Este reporte que también contiene su código de prueba de concepto en caso de que esté interesado.
El otro error encontrado por Ormandy estaba en la versión 3.3.2 de la extensión de Firefox de LastPass (más antigua, pero aún muy popular). Permite a los piratas informáticos ejecutar un script universal entre sitios para revelar la contraseña de un usuario a través de alertas.
El martes, LastPass hizo que el dominio de servicio interno responsable de transferir la información de autenticación pareciera inexistente (por ejemplo, NXDOMAIN-ing) mientras investigaban el problema y luego publicaron un anuncio el miércoles diciendo que solucionaron los problemas en la extensión de Chrome.
En lo que respecta a la extensión de Firefox, la dejaron como está ya que la rama de la versión 3.x se retirará en abril de todos modos. Para ser claros, esto no es una acusación. Lo han declarado abiertamente en su anuncio: “Este error se informó a nuestro equipo el año pasado y se solucionó en ese momento. Sin embargo, la solución no se envió a nuestra rama heredada de Firefox 3.3.x; esta sucursal ha sido programada para su retiro formal en abril”.
lo que debe hacer
Si utiliza los servicios de LastPass, le sugiero que se asegure de que las extensiones de su navegador estén lo más actualizadas posible. Aparte de eso, no hay una amenaza inmediata de la que alarmarse. En general, debe hacer esto con todas sus extensiones. De forma predeterminada, tanto Chrome como Firefox realizarán estas actualizaciones por usted, por lo que si ha optado por no participar, tal vez ahora sea un buen momento para pensarlo dos veces.
Sin embargo, hay una preocupación mayor…
Decir esto ciertamente no le hará ganar puntos a nadie en el clima actual de la industria tecnológica, pero hay que decirlo: la comodidad y la seguridad suelen ser una dicotomía. Uno de nuestros comentaristas más ávidos hizo una declaración similar anteriormente cuando informamos sobre las filtraciones de la Bóveda 7 de la CIA.
A medida que nos volvemos más íntimos (p. ej., compartimos nuestras contraseñas, nuestra información personal, etc.) con la tecnología que usamos, estamos brindando efectivamente a los piratas informáticos una forma más de comprometernos. Las infracciones ocurren porque confiamos abiertamente en las tecnologías antes incluso de preguntarnos si pueden protegernos de daños.
LastPass es un servicio que hace todo lo posible para asegurarse de que sus usuarios puedan confiarle sus contraseñas, las claves de su existencia en línea. Pero con todo respeto hacia ellos, tenemos que preguntarnos: ¿y si un día no tenemos la suerte de que un error sea reparado antes de que sea explotado? ¿Qué sucede si un problema imprevisto en el código de la aplicación permite que un hacker ingrese y vea toda su información a la vista?
Las intrusiones a LastPass han ocurrido antes, el más reciente en 2015. Después de eso, en julio de 2016, un hacker más benévolo decidió revelar un error que podría ser explotado para el publico.
La idea aquí es que nunca debes ser complaciente. Claro, muchas de estas hazañas son un poco más publicitadas de lo que deberían. Pero debe tener en cuenta el hecho de que está entrando en territorio peligroso cada vez que le da algo personal a un servicio. A veces, el beneficio supera el riesgo, pero solo usted puede tomar esa determinación una vez que esté completamente informado de lo que se está inscribiendo.
¿Usas un administrador de contraseñas? ¿Qué le parece la posibilidad de que el servicio que está utilizando experimente una infracción? ¡Cuéntanos en un comentario!