Obtener Obtener LastPass Free
Seguridad

Informes de seguridad de LastPass

Compromiso con la seguridad

La seguridad es nuestra máxima prioridad en LastPass, un esfuerzo que pasa también por reaccionar con rapidez a los informes de errores o vulnerabilidades y corregirlos. Una de las claves para que LastPass pueda ofrecer un alto nivel de seguridad a nuestros usuarios es animar a nuestra comunidad a desafiar nuestra tecnología. Apreciamos el importante esfuerzo que realiza la comunidad de análisis de seguridad, así como la divulgación responsable de problemas. Además, creemos que cuando el proceso de seguridad funciona como está previsto, todos salimos ganando.

Nota: Si es usuario de LastPass y cree que su cuenta ha sido hackeada, comprometida o presenta algún otro tipo de riesgo, póngase en contacto con el equipo de asistencia técnica de LastPass. Estudiaremos y escalaremos su problema según proceda.

Enviar un informe de seguridad

Si es investigador de seguridad y cree que ha encontrado un fallo de seguridad o una vulnerabilidad en LastPass, siga los pasos indicados a continuación:

  1. Lea las Preguntas frecuentes sobre la seguridad en LastPass para cerciorarse de que aún no se ha hecho frente a dicha cuestión.
  2. Envíe su informe mediante nuestro programa de recompensas por la localización de errores BugCrowd para informar de problemas.
  3. Siempre que sea posible, incluya un ejemplo de código y un screencast en el que se ilustre el problema.
  4. Muestre con claridad la forma en la que el error o la vulnerabilidad afectan a los datos del usuario o a los sistemas de LastPass.
  5. Concédanos tiempo suficiente para revisar su informe y responder a él, y coordínese con nosotros para que lo revisemos y lo autoricemos antes de publicar sus conclusiones a disposición del público general.
  6. Absténgase de modificar, obtener acceso o robar datos de usuarios, así como de trastornar la disponibilidad de LastPass (incluidos los ataques DDoS).

Cuando informe de problemas potenciales, le rogamos que nos facilite información suficiente para reproducir sus conclusiones. Esta información puede consistir en los pasos exactos para reproducir el error, enlaces en los que ha hecho clic, páginas que ha visitado, direcciones URL y cualquier dirección de correo electrónico de cuenta afectada. Incluya un ejemplo de código e imágenes o grabaciones de vídeo que ilustren claramente el problema que cree haber encontrado.

Puede usar esta clave pública para cifrar la información confidencial:

mostrar clave pública

 

Nota: Si está utilizando herramientas automatizadas para encontrar vulnerabilidades, tenga en cuenta que es habitual que estas herramientas generen falsos positivos.

Respuesta a los informes

En cuanto recibamos un informe, adoptaremos rápidamente medidas para investigarlo y determinar su gravedad. Si intentamos corregir el problema identificado, puede que nos pongamos en contacto con usted para solicitarle información adicional, según su gravedad. Implementaremos las correcciones necesarias para los usuarios afectados en función de la gravedad y la posible repercusión del problema. Cerraremos el informe en cuanto el problema esté resuelto o cuando se decida que está cerrado.

Preguntas frecuentes sobre la seguridad en LastPass

Tengo habilitada la autenticación multifactor de LastPass pero la aplicación ha completado mis credenciales en un sitio antes de que introdujera mi token de seguridad. ¿Se trata de un problema de seguridad?

Para validar el token de seguridad, la autenticación multifactor necesita que el usuario disponga de una conexión a Internet: si no nos proporciona un token de seguridad correcto, LastPass nunca le mostrará los datos cifrados. Sin embargo, LastPass también tiene un "modo sin conexión": mantiene una copia cifrada almacenada en la caché de los datos en su dispositivo local para que pueda seguir accediendo a ellos aunque no tenga acceso a Internet. Cuando inicia sesión en LastPass, primero se inicia la sesión sin conexión en la copia de sus datos almacenada en la caché local y luego se intenta iniciar la sesión en línea. Por eso puede que se le presenten situaciones en las que LastPass rellena las credenciales antes de que usted nos proporcione su token de seguridad de LastPass. Si quiere evitar este comportamiento, puede realizar los pasos siguientes:

  1. Inicie sesión en LastPass.
  2. Navegador - Icono de LastPass - Más opciones - Avanzado - Limpiar caché local
  3. Cierre sesión en LastPass.
Haga clic aquí para obtener más información.

Mi antivirus me ha advertido que LastPass es un virus/troyano/elemento sospechoso. ¿Debería preocuparme?

La mayoría de antivirus modernos actuales se basan en una red de confianza para determinar si un archivo representa una amenaza. El resultado de ello es que a pesar de que firmamos con un certificado digital todos los archivos ejecutables que distribuimos, cada vez que lanzamos una nueva versión de nuestro software suele provocar alertas de archivos sospechosos en los programas antivirus hasta que se ha distribuido a miles de usuarios o hasta que los usuarios finales actualizan sus definiciones de virus. Si detecta este problema, siga los pasos siguientes:

  1. Vuelva a descargar los archivos problemáticos de la página de descarga de LastPass.
  2. Cargue los archivos sospechosos en Virus Total, un servicio que analiza los archivos usando docenas de los principales motores antivirus del sector. A menos que los resultados indiquen que varios motores antivirus principales consideran que los archivos están infectados, probablemente sean seguros.
  3. Haga clic con el botón derecho en los archivos y seleccione "Propiedades" en el menú contextual y, a continuación, elija la pestaña "Firmas digitales". Asegúrese de que los archivos tienen una firma digital válida propiedad de "LastPass" y, en caso necesario, consulte el certificado. Con esto se asegurará de que LastPass ha creado los archivos y que ningún tercero malintencionado los ha modificado.
  4. Si tras realizar los pasos anteriores sigue creyendo que los archivos están infectados o que no los ha creado LastPass, póngase en contacto con nosotros en la dirección security@lastpass.com.

Alguien ha compartido un sitio conmigo y ha dejado la opción "Permitir al destinatario ver la contraseña" desactivada, pero he encontrado la forma de ver la contraseña.

En cuanto LastPass proporciona la contraseña y la introduce como parte de las credenciales en un navegador, ya no podemos protegerla. Por tanto, si un usuario utiliza LastPass para introducir una contraseña compartida en, por ejemplo, Google Chrome, no podemos seguir garantizando su seguridad. Puede ser el objeto de un ataque por parte del navegador, un virus, la red o incluso el sitio web final al que se envía. Esta cuestión también se menciona en nuestra documentación.
La idea de utilizar LastPass para proteger credenciales compartidas es mucho más amplia: si usa LastPass para compartir contraseñas con empleados o amigos, y posteriormente revoca las credenciales, LastPass le ofrece la capacidad de actualizar esa contraseña más adelante de forma rápida y sencilla. Por eso, aunque no podemos proteger las credenciales compartidas que están completamente fuera de LastPass (porque no tenemos capacidad de control sobre el navegador o más allá de este), podemos ayudarle a protegerlas permitiéndole cambiarlas con rapidez y haciendo que dicho cambio se propague automáticamente a todos los demás usuarios con los que las haya compartido.