{"id":560078,"date":"2023-01-05T21:07:32","date_gmt":"2023-01-05T21:07:32","guid":{"rendered":"https:\/\/teknomers.com\/es\/mitigue-la-superficie-de-ataque-de-lastpass-en-su-entorno-con-esta-herramienta-gratuita\/"},"modified":"2023-01-05T21:07:33","modified_gmt":"2023-01-05T21:07:33","slug":"mitigue-la-superficie-de-ataque-de-lastpass-en-su-entorno-con-esta-herramienta-gratuita","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/mitigue-la-superficie-de-ataque-de-lastpass-en-su-entorno-con-esta-herramienta-gratuita\/","title":{"rendered":"Mitigue la superficie de ataque de LastPass en su entorno con esta herramienta gratuita"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 de enero de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Las noticias del hacker<\/span><\/span><span class=\"p-tags\">Gesti\u00f3n de contrase\u00f1as \/ Violaci\u00f3n de TI<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>La \u00faltima brecha anunciada por LastPass es un motivo importante de preocupaci\u00f3n para las partes interesadas en la seguridad.  Como suele ocurrir, nos encontramos en un limbo de seguridad: por un lado, como ha se\u00f1alado LastPass, los usuarios que siguieron las mejores pr\u00e1cticas de LastPass estar\u00edan expuestos a un riesgo pr\u00e1cticamente nulo o extremadamente bajo.  Sin embargo, decir que no se siguen las mejores pr\u00e1cticas de contrase\u00f1a es una subestimaci\u00f3n salvaje.  La realidad es que hay muy pocas organizaciones en las que estas pr\u00e1cticas se aplican verdaderamente.  Esto coloca a los equipos de seguridad en la peor posici\u00f3n, donde la exposici\u00f3n al compromiso es casi segura, pero identificar a los usuarios que crearon esta exposici\u00f3n es casi imposible. <\/p>\n<p>Para ayudarlos durante este momento dif\u00edcil, la soluci\u00f3n de seguridad del navegador LayerX ha lanzado una oferta gratuita de su plataforma, lo que permite a los equipos de seguridad obtener visibilidad de todos los navegadores en los que est\u00e1 instalada la extensi\u00f3n de LastPass y mitigar los impactos potenciales de la violaci\u00f3n de LastPass en sus entornos al informar a los usuarios vulnerables y solicitarles que implementen MFA en sus cuentas y, si es necesario, implementar un procedimiento de restablecimiento de contrase\u00f1a maestra dedicado para eliminar las capacidades de los adversarios para aprovechar una contrase\u00f1a maestra comprometida para acceso malicioso (<a rel=\"nofollow noopener\" href=\"https:\/\/layerxsecurity.com\/?utm_source=THN#demo\" target=\"_blank\">Para solicitar acceso a la herramienta gratuita, rellene este formulario<\/a>)<\/p>\n<h2>Recapitulaci\u00f3n del anuncio de LastPass: \u00bfQu\u00e9 datos tienen los adversarios y cu\u00e1l es el riesgo?<\/h2>\n<p>Seg\u00fan LastPass <a rel=\"nofollow noopener\" href=\"https:\/\/blog.lastpass.com\/2022\/12\/notice-of-recent-security-incident\/\" target=\"_blank\">sitio web<\/a>&#8216;El actor de amenazas tambi\u00e9n pudo copiar una copia de seguridad de los datos de la b\u00f3veda del cliente desde el contenedor de almacenamiento encriptado que se almacena en un formato binario patentado que contiene datos no encriptados, como URL de sitios web, as\u00ed como campos confidenciales completamente encriptados como nombres de usuario y contrase\u00f1as de sitios web, notas seguras y datos rellenados en formularios.&#8217;<\/p>\n<p>El riesgo derivado es que &#8216;el actor de amenazas puede intentar usar la fuerza bruta para adivinar su contrase\u00f1a maestra y descifrar las copias de los datos de la b\u00f3veda que tomaron.  Debido a los m\u00e9todos de hashing y cifrado que utilizamos para proteger a nuestros clientes, ser\u00eda extremadamente dif\u00edcil intentar adivinar las contrase\u00f1as maestras por fuerza bruta para aquellos clientes que siguen nuestras mejores pr\u00e1cticas de contrase\u00f1as.<\/p>\n<h2>No implementar las mejores pr\u00e1cticas de contrase\u00f1as de LastPass expone la contrase\u00f1a maestra a la b\u00f3veda<\/h2>\n<p>La \u00faltima secci\u00f3n sobre &#8216;mejores pr\u00e1cticas&#8217; es la m\u00e1s alarmante.  \u00bfMejores pr\u00e1cticas de contrase\u00f1a?  \u00bfCu\u00e1ntas personas mantienen las mejores pr\u00e1cticas de contrase\u00f1a?  La respuesta realista, pero desafortunada, es: no muchos.  Eso es cierto incluso en el contexto de las aplicaciones administradas por empresas.  Cuando se trata de aplicaciones personales, no es una exageraci\u00f3n suponer que la reutilizaci\u00f3n de contrase\u00f1as es la norma y no la excepci\u00f3n.  El riesgo que presenta la infracci\u00f3n de LastPass se aplica a ambos casos de uso.  Entendamos por qu\u00e9.<\/p>\n<h2>El riesgo real: acceso malicioso a los recursos corporativos <\/h2>\n<p>Dividamos las organizaciones en dos tipos:<\/p>\n<p><strong>Escribe un:<\/strong> Organizaciones en las que se utiliza LastPass como parte de la pol\u00edtica de la empresa para almacenar contrase\u00f1as para acceder a aplicaciones administradas por la empresa, ya sea para todos los usuarios o en departamentos espec\u00edficos.  En ese caso, la preocupaci\u00f3n es sencilla: un adversario que logre descifrar u obtener la contrase\u00f1a maestra de LastPass de un empleado podr\u00eda acceder f\u00e1cilmente a los recursos confidenciales de la empresa.<\/p>\n<p><strong>Tipo B:<\/strong> Organizaciones en las que los empleados utilizan LastPass de forma independiente (ya sea para uso personal o laboral) o grupos espec\u00edficos de la organizaci\u00f3n, sin conocimientos de TI, para las aplicaciones de su elecci\u00f3n.  En ese caso, la preocupaci\u00f3n es que un adversario que logre descifrar u obtener la contrase\u00f1a maestra de LastPass de un empleado se aprovechar\u00eda de la tendencia de los usuarios a reutilizar contrase\u00f1as y, despu\u00e9s de comprometer las contrase\u00f1as en la b\u00f3veda, encontrar\u00e1 una que tambi\u00e9n se usa para acceder aplicaciones corporativas. <\/p>\n<h2>El callej\u00f3n sin salida del CISO: cierta amenaza pero capacidades de mitigaci\u00f3n extremadamente bajas <\/h2>\n<p>Independientemente de si una organizaci\u00f3n cae en el tipo A o B, el riesgo es claro.  Lo que intensifica el desaf\u00edo para el CISO en esta situaci\u00f3n es que, si bien existe una alta probabilidad, por no decir certeza, de que haya empleados en su entorno cuyas cuentas de usuario puedan verse comprometidas, el CISO tiene una capacidad muy limitada para saber qui\u00e9n. estos empleados son, por no hablar de tomar las medidas necesarias para mitigar el riesgo que imponen.<\/p>\n<h2>Oferta gratuita de LayerX: 100 % de visibilidad en la superficie de ataque de LastPass, as\u00ed como medidas de protecci\u00f3n proactivas<\/h2>\n<p>LayerX ha lanzado una herramienta gratuita que ayuda a los equipos de seguridad a comprender la exposici\u00f3n de su organizaci\u00f3n a la violaci\u00f3n de LastPass, mapea todos los usuarios y aplicaciones vulnerables y aplica mitigaciones de seguridad.<\/p>\n<p>La herramienta de LayerX se entrega como una extensi\u00f3n empresarial para el navegador que usan sus empleados y, por lo tanto, brinda visibilidad inmediata de todas las extensiones del navegador y las actividades de navegaci\u00f3n de cada usuario.  Esto permite a los CISO obtener lo siguiente:<\/p>\n<ul>\n<li><strong>Asignaci\u00f3n de uso de LastPass<\/strong>: Visibilidad integral de todos los navegadores en los que est\u00e1 instalada la extensi\u00f3n de LastPass, independientemente de si es parte de la pol\u00edtica corporativa (tipo A) o de uso personal (tipo B).  La herramienta mapea todas las aplicaciones y destinos web cuyas credenciales est\u00e1n almacenadas en LastPass.  Cabe se\u00f1alar que los desaf\u00edos de visibilidad para las organizaciones de tipo B son mucho m\u00e1s graves que para el tipo A y no pueden ser abordados por ninguna soluci\u00f3n, excepto por la herramienta de LayerX.<\/li>\n<\/ul>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1672952851_528_Mitigue-la-superficie-de-ataque-de-LastPass-en-su-entorno.png\" alt=\"Superficie de ataque de LastPass\" border=\"0\" data-original-height=\"411\" data-original-width=\"728\" title=\"Superficie de ataque de LastPass\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Informe LastPass de LayerX<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1672952852_823_Mitigue-la-superficie-de-ataque-de-LastPass-en-su-entorno.png\" alt=\"Superficie de ataque de LastPass\" border=\"0\" data-original-height=\"371\" data-original-width=\"728\" title=\"Superficie de ataque de LastPass\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">La notificaci\u00f3n de LayerX enviada a usuarios vulnerables<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<ul>\n<li><strong>Identificaci\u00f3n de usuarios en riesgo:<\/strong> Aprovechando este conocimiento, los equipos de seguridad pueden informar a los usuarios vulnerables y exigirles que implementen MFA en sus cuentas.  Tambi\u00e9n pueden implementar un procedimiento de restablecimiento de contrase\u00f1a maestra dedicado para eliminar la capacidad de los adversarios de aprovechar una contrase\u00f1a maestra comprometida para el acceso malicioso.<\/li>\n<\/ul>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/layerxsecurity.com\/?utm_source=THN#demo\" target=\"_blank\">Para obtener acceso a la herramienta gratuita, complete este formulario<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/mitigate-lastpass-attack-surface-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 de enero de 2023\ue804Las noticias del hackerGesti\u00f3n de contrase\u00f1as \/ Violaci\u00f3n de TI La \u00faltima brecha anunciada<\/p>\n","protected":false},"author":1,"featured_media":560079,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1247,4661,4664,99,23655,97,4662,8072,1086,4668,4667,103633,137900,4654,4658,4659,4653,4655,4663,4666,4665,15763,4660],"class_list":["post-560078","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataque","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-entorno","tag-esta","tag-filtracion-de-datos","tag-gratuita","tag-herramienta","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-lastpass","tag-mitigue","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-superficie","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/560078","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=560078"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/560078\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/560079"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=560078"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=560078"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=560078"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}