LastPass, un conocido gestor de contraseñas, ha divulgado recientemente una filtración en su sistema. Se han visto comprometidas por este ataque las direcciones de correo electrónico de los usuarios, los recordatorios de contraseñas, las diferentes sales de cada usuario y los algoritmos de autenticación.
Reconocemos el mérito a la compañía: en cuanto LastPass encontró la filtración, lanzaron una advertencia pública. Para beneficio de los hackers, muchas empresas importantes tratan de mantener este tipo de infracciones en secreto, pero éste no es el caso.
Al mismo tiempo, las consecuencias potenciales de esta infracción parecen ser ambiguas. El director ejecutivo y fundador de LastPass, Joe Siegrist, asegura que este incidente no afectará “a la mayoría de los usuarios”. Algunos investigadores apoyan su postura, declarando que no existe riesgo para los usuarios que tienen contraseñas seguras.
[tweet]single|id=610906651969728513[/tweet]
Otros investigadores consideran que esta filtración puede conducir a una nueva ola de actividad maliciosa dirigida directamente a los usuarios de LastPass. Los hackers, armados con una lista de los correos electrónicos reales de los usuarios, podrán crear una campaña de phishing dirigida al robo de los datos que les faltan. LastPass aconseja a los usuarios cambiar sus contraseñas maestras.
¿Qué impide a los criminales enviar spam a los usuarios de LastPass con mensajes fraudulentos, disfrazados de mensajes oficiales? Cuando la gente recibe correos electrónicos que no considera sospechosos y que contienen advertencias y consejos de los “desarrolladores”, es muy probable que enseguida pinchen en el enlace y cambien su contraseña maestra, entregándosela directamente a los cibercriminales.
LAS RECOMENDACIONES DE KASPERSKY
- Sigue las recomendaciones oficiales: cambia la contraseña maestra y habilita la autenticación multifactor. Sería perfecto que lo hicieras también en el resto de las páginas webs, por ejemplo, en tus redes sociales y correos electrónicos.
- No pinches en enlaces recibidos por correo electrónico que aseguren ser de LastPass. Estos correos pueden ser falsos, por lo que la mejor opción es escribir la URL manualmente en la barra de direcciones del navegador.
- Asegúrate de no usar tu contraseña maestra en otras páginas web. Lo mejor es usar siempre diferentes contraseñas para los diferentes servicios.
Esta no es la primera vez en que LastPass tiene problemas de seguridad. El verano pasado, la Universidad de California en Berkeley reveló errores de seguridad en cinco gestores de seguridad, entre los que se incluía a LastPass. Los cuatro restantes eran: RoboForm, My1Login, PasswordBox y NeedMyPassword.
Fuente: Blog Kaspersky Labs
Compartir nota:
