Es una buena idea usar uno de los mejores administradores de contraseñas para mantener sus inicios de sesión seguros, pero ahora una empresa de seguridad advierte que uno de los administradores de contraseñas más populares del mundo no es seguro de usar.
El extraordinario reclamo proviene de Intego, una firma que se especializa en seguridad para Mac. Intego hizo su afirmación basándose en una serie de brechas de seguridad que LastPass ha sufrido en los últimos meses, la forma en que LastPass ha respondido a esos incidentes y la tecnología subyacente que utiliza LastPass para proteger las cuentas de los clientes.
En su informe, Intego describió la saga LastPass, desde su revelación inicial de una brecha en agosto de 2022 hasta una investigación del administrador de contraseñas rival 1Password en diciembre. Esa línea de tiempo pinta una imagen de un administrador de contraseñas con prácticas y tecnología cuestionables, afirma Intego.
En agosto de 2022, LastPass notificó a los usuarios que un tercero no autorizado había accedido a su entorno de desarrollo, pero que no se tomaron datos del cliente. Luego, LastPass emitió una nueva declaración en noviembre afirmando que los piratas informáticos habían tomado «ciertos elementos de… la información de los clientes».
Finalmente, en diciembre, LastPass admitió que los datos a los que accedieron los piratas informáticos se usaron para engañar a un empleado de la empresa para que entregara las claves de algunas credenciales de clientes, que luego se usaron para acceder y descifrar los datos de los clientes.
Prácticas cuestionables
Sin embargo, Intego sostiene que los análisis de terceros de la brecha sugieren un escenario más preocupante. Según el investigador de seguridad Wladimir Palant, por ejemplo, las declaraciones de LastPass estaban «llenas de omisiones, verdades a medias y mentiras descaradas». Una de las alegaciones de Palant es que la implementación de LastPass de un algoritmo de fortalecimiento de contraseñas no se considera lo suficientemente fuerte según los estándares de la industria, lo que hace que las bóvedas de los usuarios sean demasiado fáciles de piratear.
El administrador de contraseñas rival 1Password ha agregado su opinión a la mezcla, afirmando que a un hacker le costaría $ 100 o menos descifrar las contraseñas maestras que protegen muchas bóvedas de LastPass, tal es la debilidad de los métodos hash de LastPass.
Todo eso ha llevado a Intego a afirmar que, «dado lo que ahora sabemos sobre LastPass, tanto cómo opera la empresa como su tecnología, no recomendamos usar LastPass como administrador de contraseñas».
Cómo mantener tus contraseñas seguras
Es una declaración notable dada la popularidad de LastPass. LastPass afirma que tiene más de 33 millones de usuarios; si las afirmaciones sobre su laxa seguridad son correctas, esa es una gran cantidad de personas cuyas cuentas, contraseñas y datos de tarjetas de crédito ahora son potencialmente vulnerables.
En este momento, Intego aconseja a los usuarios de LastPass que comiencen a migrar sus cuentas a otro administrador de contraseñas de inmediato. Una vez que esté completo, la compañía recomienda a los usuarios que actualicen todas las contraseñas que se habían almacenado en LastPass con reemplazos nuevos.
Esto demuestra que ni siquiera los servicios más populares son inmunes a los ataques de piratería y las brechas de seguridad. Ya sea que use un administrador de contraseñas o no, puede protegerse usando contraseñas seguras y únicas que no se usan en varios sitios. De esa manera, una infracción no hará que todas sus otras cuentas se vean comprometidas.
Recomendaciones de los editores