Es uno de los principales servicios -ultrasensible- que te permite proteger tus contraseñas en Internet para encontrarlas rápidamente, desde un smartphone o un ordenador: el gestor de contraseñas de LastPass ha sido objeto de una importante fuga de datos, la empresa anunció en una publicación de blog publicada el jueves 22 de diciembre y firmada por su presidente y director ejecutivo, Karim Toubba.
Una primera brecha, reportada en agosto, había permitido a los piratas informáticos recuperar información técnica. Gracias a ellos, a principios de diciembre pudieron dirigirse a un empleado de la empresa para recuperar un nombre de usuario, una contraseña y una clave de cifrado que abría el acceso a las copias de seguridad informáticas de LastPass, alojadas por un subtratador. Inicialmente tranquilizador, la empresa estadounidense ha cambiado de tono, aconsejando a sus usuarios que tengan cuidado.
Los piratas informáticos, de hecho, absorbieron parte de estas copias de seguridad, que albergaban información proporcionada por los clientes. Entre los datos personales que se recuperan se encuentran su apellido, nombre, dirección, teléfono, correo electrónico, dirección IP -el número de identificación del dispositivo utilizado para conectarse a Internet- y, opcionalmente, el nombre de su empresa. Desafortunadamente, LastPass no dice cuántos de sus usuarios se ven afectados por esta filtración.
Estos datos son valiosos para los piratas informáticos porque pueden facilitar esquemas de phishing (suplantación de identidad) destinado a extraer información aún más confidencial de los clientes de LastPass. En este sentido, la empresa advierte a sus usuarios que nunca se pondrá en contacto con ellos para pedirles la contraseña maestra, que utilizan para abrir la aplicación LastPass. Además, no llamará a sus clientes, no les enviará un correo electrónico ni les enviará un SMS pidiéndoles que hagan clic en un enlace para confirmar su información personal.
Las contraseñas permanecen encriptadas
Según la empresa americana, también han succionado las contraseñas de sus clientes. Sin embargo, a diferencia de la información personal mencionada anteriormente, estos datos permanecen protegidos por un cifrado fuerte, AES de 256 bits (para Estándar de cifrado avanzado – “estándar de cifrado avanzado”). LastPass afirma que sería muy difícil para los piratas informáticos romper la barrera AES para acceder a la lista de contraseñas almacenadas por sus clientes. La compañía, que en esta investigación está respaldada por la firma de ciberseguridad Mandiant, advierte, sin embargo, que algunas empresas que utilizan sus servicios están optando por otro sistema de encriptación para sus cuentas de LastPass, potencialmente menos robusto.
Para poder desbloquear este cifrado y acceder a la lista de contraseñas de los clientes, es necesario conocer sus contraseñas maestras. Sin embargo, según el CEO de LastPass, los piratas informáticos no pudieron recuperarlos porque los clientes son los únicos que conocen este preciado sésamo, una medida de seguridad conocida por los expertos como “arquitectura de conocimiento cero”.
Sin embargo, los piratas informáticos pueden encontrar esta contraseña particularmente sensible de diferentes maneras, en particular aplicando el método de fuerza bruta, que consiste en probar todas las combinaciones posibles. Según LastPass, es la fortaleza de la contraseña maestra lo que determina su resistencia a los ataques. Sin embargo, algunos usuarios lo han elegido por ser más corto y menos complejo que otros. La seguridad de la contraseña maestra también puede verse comprometida si sus clientes han utilizado una contraseña que ya se ha utilizado en otros lugares. Si es así, es posible que haya sido pirateado por otro equipo de piratas informáticos y luego vendido a los perpetradores del ataque LastPass.
La empresa recomienda que los usuarios que duden de la seguridad de su contraseña maestra la cambien y luego reemplacen todas las contraseñas almacenadas en la memoria cifrada de su cuenta. Una operación que puede llevar largas horas, dependiendo de la cantidad de contraseñas almacenadas por los usuarios.