LastPass ha estado mucho en las noticias recientemente. Ya sea que ya sea usuario de LastPass o esté pensando en suscribirse, probablemente se esté preguntando si es seguro usarlo después de los ataques recientes.
La respuesta corta es no, pero esto se debe solo en parte a los hacks de 2022.
Como administrador de contraseñas que guarda todos sus inicios de sesión, tal vez incluidos nombres de usuario y contraseñas para banca en línea y otros servicios críticos, debe ser completamente confiable.
Aunque desconfiaríamos de cualquier servicio en línea o basado en la nube que afirme ser 100% seguro y a prueba de hackers, realmente no es una buena apariencia si manejas las contraseñas de millones de usuarios y sufres infracciones repetidas.
En el pasado, le dimos a LastPass el beneficio de la duda en numerosas ocasiones. Fue pirateado en 2015 cuando se accedió a las direcciones de correo electrónico de los usuarios y a los recordatorios de contraseñas.
Luego, en 2017, se encontró una vulnerabilidad en la extensión de su navegador que podría haber sido utilizada para robar sus contraseñas. Esto se reparó, pero sucedió algo similar en 2019, donde la última contraseña utilizada era vulnerable.
Luego, en agosto de 2022, LastPass publicó en su blog que una máquina utilizada para el desarrollo se había visto comprometida, pero que no había evidencia de que se hubiera accedido a los datos o contraseñas de los clientes.
LastPass dijo que no se requería ninguna acción porque la contraseña maestra y las bóvedas cifradas (que contienen los inicios de sesión y las contraseñas) permanecieron seguras.
Desafortunadamente, esto resultó ser demasiado optimista: solo unos meses después, los piratas informáticos utilizaron la información que habían obtenido en agosto para piratear LastPass nuevamente, esta vez accediendo a las direcciones de correo electrónico, números de teléfono y direcciones IP de los usuarios.
Hicieron esto estafando a un empleado de LastPass y logrando obtener la información necesaria para acceder a un almacenamiento en la nube que LastPass usa para mantener los datos de los clientes y las bóvedas de contraseñas.
Las contraseñas, los nombres de usuario y cualquier nota en esas bóvedas están, por supuesto, encriptadas, pero no todos los datos: LastPass confirmó que también contienen URL de sitios web sin encriptar.
Los piratas informáticos tendrían que adivinar su contraseña maestra para descifrar la información en esas bóvedas, pero dado que pueden usar software para acelerar ese proceso, es solo cuestión de tiempo antes de que logren descifrar algo, especialmente si usó una contraseña más débil. con menos de 12 caracteres, algo que es posible si no lo ha cambiado desde antes de 2018.
Soy usuario de LastPass. ¿Qué tengo que hacer?
Si usa una contraseña segura, debería estar bien, dice LastPass, porque el software generalmente disponible tardaría “millones de años” en descifrarla.
“Debido a los métodos de hashing y encriptación que usamos para proteger a nuestros clientes, sería extremadamente difícil intentar adivinar las contraseñas maestras por fuerza bruta para aquellos clientes que siguen nuestras mejores prácticas de contraseñas. Probamos rutinariamente las últimas tecnologías de descifrado de contraseñas contra nuestros algoritmos para seguir el ritmo y mejorar nuestros controles criptográficos.
El actor de amenazas también puede atacar a los clientes con ataques de phishing, relleno de credenciales u otros ataques de fuerza bruta contra cuentas en línea asociadas con su bóveda de LastPass. Para protegerse contra los ataques de ingeniería social o phishing, es importante saber que LastPass nunca lo llamará, le enviará un correo electrónico ni le enviará un mensaje de texto para pedirle que haga clic en un enlace para verificar su información personal. Excepto cuando inicie sesión en su bóveda desde un cliente de LastPass, LastPass nunca le pedirá su contraseña maestra”.
El problema es que si los piratas informáticos ya tienen una copia de su bóveda, que está encriptada con su antiguo contraseña y, a continuación, cambiar su contraseña maestra de LastPass ahora no hará ninguna diferencia porque solo cambiará el cifrado de la versión que almacena LastPass, no la copia que tienen los malos.
Esto significa que su única opción es cambiar las contraseñas de las cuentas dentro de la bóveda para que, si los piratas informáticos alguna vez logran descifrar su bóveda, las contraseñas que obtengan ya no funcionen.
Es muy complicado y toma mucho tiempo cambiar cientos (incluso docenas) de contraseñas, pero obviamente vale la pena hacerlo para cualquier banco u otra cuenta que tenga que ver con sus finanzas para mitigar el riesgo. Eso incluye cuentas para cualquier sitio de compras en línea que almacene sus detalles de pago, como Amazon, y no se olvide de PayPal y otros.
¿Debería seguir usando LastPass?
No. Es simplemente imposible recomendarte que lo sigas usando. El historial de infracciones y vulnerabilidades ya era bastante malo, pero el hecho de que los delincuentes ahora hayan logrado apoderarse de las bóvedas de contraseñas cifradas es la gota que colmó el vaso.
También está el hecho de que el código de LastPass es de “fuente cerrada”. A diferencia del software de código abierto, esto significa que nadie fuera de LastPass puede inspeccionar el código que utiliza para buscar vulnerabilidades. Hay administradores de contraseñas de código abierto, incluidos Bitwarden y KeePass.
Ya dijimos que debe cambiar las contraseñas de las cuentas financieras importantes, pero debe encontrar otro administrador de contraseñas y migrar sus contraseñas a ese.
La mayoría de los administradores de contraseñas funcionan como LastPass y almacenan su bóveda de contraseñas en la nube. Hacen esto para facilitar la sincronización de esos inicios de sesión entre todos sus dispositivos, pero algunos ofrecen una opción ‘autoalojada’ donde puede almacenar su bóveda localmente en su dispositivo. Eso es mejor desde el punto de vista de la seguridad, pero tiende a significar que no es tan fácil sincronizar nuevos inicios de sesión y cambios de contraseña en todos los dispositivos que usa.
Pero la seguridad y la comodidad rara vez van de la mano, por lo que realmente depende de cuánto desee mantener seguras sus contraseñas si confía o no en un administrador de contraseñas basado en la nube.
Historias relacionadas