LastPass tiene un doozy de un anuncio actualizado<\/a> sobre una violaci\u00f3n de datos reciente: la compa\u00f1\u00eda, que promete mantener todas sus contrase\u00f1as en un lugar seguro, ahora dice que los piratas inform\u00e1ticos pudieron \u00abcopiar una copia de seguridad de los datos de la b\u00f3veda del cliente\u00bb, lo que significa que, en teor\u00eda, ahora tienen acceso a todas esas contrase\u00f1as si pueden crackear las b\u00f3vedas robadas (a trav\u00e9s de TechCrunch<\/em><\/a>). <\/p>\n<\/div>\n Si tiene una cuenta que usa para almacenar contrase\u00f1as e informaci\u00f3n de inicio de sesi\u00f3n en LastPass, o sol\u00eda tener una y no la hab\u00eda eliminado antes de este oto\u00f1o, su b\u00f3veda de contrase\u00f1as puede estar en manos de piratas inform\u00e1ticos. A\u00fan as\u00ed, la compa\u00f1\u00eda afirma que podr\u00eda estar seguro si tiene una contrase\u00f1a maestra segura y su configuraci\u00f3n predeterminada m\u00e1s reciente. Sin embargo, si tiene una contrase\u00f1a maestra d\u00e9bil o menos segura, la compa\u00f1\u00eda dice que \u00abcomo medida de seguridad adicional, debe considerar minimizar el riesgo cambiando las contrase\u00f1as de los sitios web que ha almacenado\u00bb.<\/p>\n<\/div>\n Eso podr\u00eda significar cambiar las contrase\u00f1as de todos los sitios web en los que confi\u00f3 LastPass para almacenar.<\/p>\n<\/div>\n Si bien LastPass insiste en que las contrase\u00f1as a\u00fan est\u00e1n protegidas por la contrase\u00f1a maestra de la cuenta, es dif\u00edcil confiar en su palabra en este momento, dada la forma en que maneja estas divulgaciones. <\/p>\n<\/div>\n cuando la empresa anunci\u00f3 que hab\u00eda sido violada en agosto<\/a>, dijo que no cre\u00eda que se hubiera accedido a los datos del usuario. Luego, en noviembre, LastPass lo dijo detect\u00f3 una intrusi\u00f3n<\/a>, que aparentemente se bas\u00f3 en informaci\u00f3n robada en el incidente de agosto (hubiera sido agradable escuchar sobre esa posibilidad en alg\u00fan momento entre agosto y noviembre). Esa intrusi\u00f3n permiti\u00f3 que alguien \u00abobtuviera acceso a ciertos elementos\u00bb de la informaci\u00f3n del cliente. Resulta que esos \u00abciertos elementos\u00bb eran, ya sabes, las cosas m\u00e1s importantes y secretas que almacena LastPass. La compa\u00f1\u00eda dice que \u00abno hay evidencia de que se haya accedido a datos de tarjetas de cr\u00e9dito sin cifrar\u00bb, pero eso probablemente hubiera sido preferible a lo que los piratas inform\u00e1ticos realmente se salieron con la suya. Al menos es f\u00e1cil cancelar una tarjeta o dos.<\/p>\n<\/div>\n Se copi\u00f3 una copia de seguridad de las b\u00f3vedas de los clientes desde el almacenamiento en la nube<\/p>\n<\/div>\n<\/div>\n Veremos c\u00f3mo sucedi\u00f3 todo esto en un momento, pero esto es lo que dice el CEO de LastPass, Karim Toubba, sobre las b\u00f3vedas que se tomaron:<\/p>\n<\/div>\n El actor de amenazas tambi\u00e9n pudo copiar una copia de seguridad de los datos de la b\u00f3veda del cliente desde el contenedor de almacenamiento cifrado que se almacena en un formato binario patentado que contiene datos no cifrados, como URL de sitios web, as\u00ed como campos confidenciales totalmente encriptados, como nombres de usuario y contrase\u00f1as de sitios web, notas seguras y datos rellenados en formularios.<\/strong> <\/p>\n<\/blockquote>\n<\/div>\n Toubba dice que la \u00fanica forma en que un actor malicioso podr\u00eda acceder a esos datos cifrados y, por lo tanto, a sus contrase\u00f1as, ser\u00eda con su contrase\u00f1a maestra. LastPass dice que nunca ha tenido acceso a las contrase\u00f1as maestras.<\/p>\n<\/div>\n Es por eso que dice, \u00abser\u00eda extremadamente dif\u00edcil intentar adivinar contrase\u00f1as maestras por fuerza bruta\u00bb, siempre que tenga una muy buena contrase\u00f1a maestra que nunca reutilice (y siempre que no haya alg\u00fan defecto t\u00e9cnico en el camino). LastPass cifr\u00f3 los datos, aunque la empresa ha hecho algunos errores de seguridad bastante b\u00e1sicos antes<\/a>). Pero quienquiera que tenga estos datos podr\u00eda intentar desbloquearlos adivinando contrase\u00f1as aleatorias, tambi\u00e9n conocido como fuerza bruta. <\/p>\n<\/div>\n LastPass dice que usar sus valores predeterminados recomendados deber\u00edan<\/em> protegerlo de ese tipo de ataque, pero no menciona ning\u00fan tipo de caracter\u00edstica que impida que alguien intente desbloquear una b\u00f3veda repetidamente durante d\u00edas, meses o a\u00f1os. Tambi\u00e9n existe la posibilidad de que las contrase\u00f1as maestras de las personas sean accesibles de otras maneras: si alguien reutiliza su contrase\u00f1a maestra para otros inicios de sesi\u00f3n, es posible que se haya filtrado durante otras filtraciones de datos. <\/p>\n<\/div>\n Tambi\u00e9n vale la pena se\u00f1alar que si tiene una cuenta anterior (antes de una configuraci\u00f3n predeterminada m\u00e1s nueva introducida despu\u00e9s de 2018), es posible que se haya utilizado un proceso de fortalecimiento de contrase\u00f1a m\u00e1s d\u00e9bil para proteger su contrase\u00f1a maestra. Seg\u00fan LastPass, actualmente utiliza \u00abuna implementaci\u00f3n m\u00e1s s\u00f3lida de lo habitual de 100\u00a0100 iteraciones de la funci\u00f3n de derivaci\u00f3n de clave basada en contrase\u00f1a\u00bb, pero cuando Borde<\/em> miembro del personal verific\u00f3 su cuenta anterior usando un enlace<\/a> la compa\u00f1\u00eda incluye en su blog, les dijo que su cuenta estaba configurada para 5,000 iteraciones. <\/p>\n<\/div>\n Quiz\u00e1s lo m\u00e1s preocupante son los datos sin cifrar, dado que incluye URL, podr\u00eda dar a los piratas inform\u00e1ticos una idea de en qu\u00e9 sitios web tiene cuentas. Si decidieran apuntar a usuarios particulares, eso podr\u00eda ser informaci\u00f3n poderosa cuando se combina con phishing u otros tipos de ataques.<\/p>\n<\/div>\n Si fuera cliente de LastPass, no estar\u00eda contento con la forma en que la empresa ha revelado esta informaci\u00f3n.<\/p>\n<\/div>\n<\/div>\n Si bien nada de eso es una gran noticia, todo es algo que, en teor\u00eda, podr\u00eda sucederle a cualquier empresa que almacene secretos en la nube. En ciberseguridad, el nombre del juego no es tener un historial 100 por ciento perfecto; es c\u00f3mo reaccionas ante los desastres cuando ocurren. <\/p>\n<\/div>\n Y aqu\u00ed es donde LastPass, en mi opini\u00f3n, ha fallado absolutamente. <\/p>\n<\/div>\n Recuerde, est\u00e1 haciendo este anuncio hoy, el 22 de diciembre, tres d\u00edas antes de Navidad, un momento en que muchos departamentos de TI estar\u00e1n en gran medida de vacaciones y cuando es probable que las personas no presten atenci\u00f3n a las actualizaciones de su administrador de contrase\u00f1as. <\/p>\n<\/div>\n (Adem\u00e1s, el anuncio no llega a la parte sobre la copia de las b\u00f3vedas hasta cinco p\u00e1rrafos en<\/em>. Y aunque parte de la informaci\u00f3n est\u00e1 en negrita, creo que es justo esperar que un anuncio tan importante est\u00e9 en la parte superior).<\/p>\n<\/div>\n LastPass dice que la copia de seguridad de la b\u00f3veda no se vio comprometida inicialmente en agosto; en cambio, su historia es que el actor de amenazas us\u00f3 informaci\u00f3n de esa violaci\u00f3n para apuntar a un empleado que ten\u00eda acceso a un servicio de almacenamiento en la nube de un tercero. Las b\u00f3vedas se almacenaron y se copiaron de uno de los vol\u00famenes a los que se accedi\u00f3 en ese almacenamiento en la nube, junto con copias de seguridad que conten\u00edan \u00abinformaci\u00f3n b\u00e1sica de la cuenta del cliente y metadatos relacionados\u00bb. Eso incluye cosas como \u00abnombres de empresas, nombres de usuarios finales, direcciones de facturaci\u00f3n, direcciones de correo electr\u00f3nico, n\u00fameros de tel\u00e9fono y las direcciones IP desde las que los clientes acced\u00edan al servicio de LastPass\u00bb, seg\u00fan LastPass.<\/p>\n<\/div>\n Toubba dice que la empresa est\u00e1 tomando todo tipo de precauciones como resultado de la infracci\u00f3n inicial y la infracci\u00f3n secundaria que expuso las copias de seguridad, incluida la adici\u00f3n de m\u00e1s registros para detectar actividades sospechosas en el futuro, la reconstrucci\u00f3n de su entorno de desarrollo, la rotaci\u00f3n de credenciales y m\u00e1s. <\/p>\n<\/div>\n Todo eso est\u00e1 bien, y deber\u00eda hacer esas cosas. Pero si fuera un usuario de LastPass, estar\u00eda considerando seriamente dejar la empresa en este momento, porque estamos viendo uno de dos escenarios aqu\u00ed: o la empresa no sab\u00eda que las copias de seguridad que conten\u00edan las b\u00f3vedas de los usuarios estaban en el servicio de almacenamiento en la nube cuando anunci\u00f3 que hab\u00eda detectado actividad inusual all\u00ed el 30 de noviembre, o hizo<\/em> sab\u00edan y optaron por no decirles a los clientes sobre la posibilidad de que los piratas inform\u00e1ticos hubieran tenido acceso a ellos. Ninguno de los dos es un buen aspecto.<\/p>\n<\/div>\n<\/div>\n\n