LastPass también caerá, adelantan los expertos

Del 10 al 13 de noviembre próximos se celebrará en Amsterdam la conferencia de seguridad informática Black Hat Europe, la más importante del continente y en la cual se reunirán expertos del todo el mundo para tratar los temas candentes del segmento. Del copioso e interesante menú previsto, sin embargo, destacamos una charla que puede dar mucho de que hablar, y es que se refiere a la aplicación más popular de su categoría, LastPass.

LastPass y por extensión cualquier gestor de contraseñas son sin duda un objeto de deseo para cualquier atacante, pues de lograr comprometerlos las consecuencias serían devastadoras: ahí se almacenan las credenciales de todo sitio web y servicio que se use, así como otro tipo de información privada y sensible. Para eso se supone que son «a prueba de bombas» y que sin la contraseña maestra nadie tiene acceso. LastPass es el ejemplo más notable, con más de 10.000 clientes profesionales de diferentes rangos y empresas de todo tamaño, indican en la fuente.

Pero, ¿son los gestores de contraseñas tan seguros como cabría esperar?. Dos ingenieros españoles de Salesforce, Alberto García y Martín Vigo, expondrán en
Black Hat Europe una investigación sobre cómo atacar gestores de contraseñas, con la meta puesta en conseguir la clave maestra y todos los secretos que esta guarda y con LastPass como ejemplo, sobra añadir. «Vamos a demostrar que es posible robar y descifrar la contraseña maestra«, apuntan.

Por lo poco que adelantan, los plugins de LastPass -los hay para los principales navegadores web- fueron el punto de partida de la investigación. Analizando el código encontraron varias formas de hacerse con la clave, que también pudieron sustraer «abusando del sistema de recuperación de cuenta». Para completar, han descubierto la manera de burlar la doble autenticación. Los ingenieros escribieron un módulo para el conocido software de examen de penetración Metasploit que la sirve en bandeja.

Entonces, ¿nos tiramos de los pelos o esperamos a ver qué cuentan? Vale la pena esperar, porque será interesante conocer cómo la hacen exactamente, porque si hay agujeros de seguridad de por medio habrán sido comunicados a la desarrolladora y porque en principio quizás suena más fuerte de lo que finalmente resulte. No lo sabemos. La recuperación de cuenta de LastPass, por ejemplo, exige utilizar un navegador que lo haya tenido instalado, lo que a su vez exige de acceso físico o un control severo de la máquina infectada como para poder copiar archivos al libre albedrío.

LastPass se enfrentó a uno de sus más sonados percances en materia de seguridad el pasado junio, cuando descubrieron «actividad sospechosa» en su red. No obstante reaccionaron rápido, reiniciaron sesiones y advirtieron a sus usuarios de cambiar la contraseña maestra; en todo caso, lo único que podría haberse comprometido serían datos cifrados. Esta nueva historia es otro cantar.