Recordar todas las contraseñas de todas sus cuentas en línea es un desafío y es por eso que existen administradores de contraseñas como LastPass, Dashlane y 1Password. Pero estas enormes bases de datos cifradas de nombres de usuario y contraseñas son los principales objetivos de los delincuentes y muchos de los programas han sufrido violaciones.
Esta semana, administrador de contraseñas gratuito KeePass anunció en su sitio que existe una vulnerabilidad en su software y los piratas informáticos podrían enviar actualizaciones de software falsas que contienen malware a los usuarios haciéndose pasar por el nuevo software KeePass. KeePass utiliza el Protocolo de transferencia de hipertexto (HTTP) sin cifrar en lugar de la versión segura HTTPS. (Si no sabe qué son HTTP y HTTPS, eche un vistazo a la URL de esta página. HTTPS es el protocolo que aloja los datos enviados entre un navegador de Internet y sitios web. HTTPS es seguro y autentica cada sitio web y el servidor para hacer seguro que un sitio malicioso no se hace pasar por uno legítimo).
Investigador de seguridad Florian Bogner le dice a LifeHacker que debido a que KeePass usa HTTP para las actualizaciones de software, los delincuentes pueden crear una actualización falsa con software malicioso.
KeePass explica en su sitio:
El archivo de información de la versión se descarga del sitio web de KeePass a través de HTTP. Por lo tanto, un hombre en el medio (alguien que puede interceptar su conexión al sitio web de KeePass) podría haber devuelto un archivo de información de versión incorrecta, posiblemente haciendo que KeePass muestre una notificación de que hay una nueva versión de KeePass disponible.
KeePass dice que el hecho de que un pirata informático le envíe una actualización falsa con malware en su interior no significa que el ataque esté en movimiento porque KeePass no aloja actualizaciones automáticas. Los usuarios de KeePass deben descargar manualmente una nueva versión. KeePass dice que los usuarios deben verificar la firma digital y si hay malware presente, no lo descarguen.
con quien esta casada bonnie raitt
Para obtener más información sobre cómo verificar una firma digital, vea el video de Bogner a continuación:
