\n<\/p>\n
LastPass sol\u00eda ser uno de los mejores administradores de contrase\u00f1as, pero m\u00e1s recientemente, su reputaci\u00f3n se ha visto afectada por m\u00faltiples violaciones de seguridad. Ahora la compa\u00f1\u00eda ha confirmado que el \u00faltimo fue De Verdad<\/em> malo.<\/p>\n LastPass sufri\u00f3 una brecha de seguridad en agosto, cuando un pirata inform\u00e1tico obtuvo acceso a los entornos de desarrollo y pudo robar el c\u00f3digo fuente y otra informaci\u00f3n patentada. M\u00e1s tarde en diciembre, LastPass confirm\u00f3 que un pirata inform\u00e1tico pudo usar esos datos para \u00abobtener acceso a ciertos elementos de la informaci\u00f3n de nuestros clientes\u00bb. La compa\u00f1\u00eda no aclar\u00f3 qu\u00e9 significaba \u00abciertos elementos\u00bb, hasta ahora.<\/p>\n LastPass acaba de revelar el alcance completo del ataque, luego de una \u00abinvestigaci\u00f3n en curso\u00bb. El pirata inform\u00e1tico pudo acceder a un entorno de almacenamiento en la nube utilizando datos de la brecha de seguridad de agosto, que inclu\u00edan \u00abinformaci\u00f3n b\u00e1sica de la cuenta del cliente y metadatos relacionados, incluidos nombres de empresas, nombres de usuarios finales, direcciones de facturaci\u00f3n, direcciones de correo electr\u00f3nico, n\u00fameros de tel\u00e9fono y direcciones IP\u00bb. desde donde los clientes acced\u00edan al servicio de LastPass\u201d. Aparentemente, no se accedi\u00f3 a la informaci\u00f3n de la tarjeta de cr\u00e9dito.<\/p>\n La peor parte es que el pirata inform\u00e1tico copi\u00f3 con \u00e9xito los datos de la b\u00f3veda de LastPass, aunque la empresa lo llam\u00f3 \u00abuna copia de seguridad\u00bb, por lo que no est\u00e1 claro la antig\u00fcedad de los datos. La compa\u00f1\u00eda afirma que las contrase\u00f1as reales siguen siendo seguras, porque utilizan un cifrado AES de 256 bits basado en la contrase\u00f1a maestra de una persona. Sin embargo, si se puede obtener la contrase\u00f1a maestra de alguien (por ejemplo, con un correo electr\u00f3nico de phishing que imita una p\u00e1gina de inicio de sesi\u00f3n de LastPass), podr\u00eda desbloquear los datos cifrados y ver todas las contrase\u00f1as de alguien.<\/p>\n Incluso sin la contrase\u00f1a maestra, los datos filtrados podr\u00edan ser da\u00f1inos para algunos usuarios de LastPass. Los nombres y las direcciones de facturaci\u00f3n se pueden usar en m\u00e1s ataques, y las direcciones de los sitios web para las contrase\u00f1as almacenadas no se cifraron. Alguien con los datos filtrados podr\u00eda ver todos los sitios web asociados con contrase\u00f1as y luego usarlos para un phishing m\u00e1s espec\u00edfico. Por ejemplo, si alguien tiene una contrase\u00f1a para el sitio web de Bank of America, es posible que tenga una cuenta all\u00ed y ser\u00eda un objetivo excelente para correos electr\u00f3nicos de phishing que parecen alertas de cuenta del banco.<\/p>\n Este es casi el peor incidente de seguridad imaginable para un administrador de contrase\u00f1as como LastPass: casi todos los datos en posesi\u00f3n de la empresa han sido copiados. El cifrado del lado del cliente evit\u00f3 que se robaran todas las contrase\u00f1as, pero como se mencion\u00f3 anteriormente, todo lo que se necesita es una contrase\u00f1a maestra d\u00e9bil o un ataque de phishing para desbloquear esos datos para una cuenta. Eso, junto con un historial deficiente de respuesta a problemas de seguridad y muchas otras infracciones recientes, es una buena justificaci\u00f3n para dejar de usar LastPass.<\/p>\n Si usa LastPass, debe cambiar su contrase\u00f1a maestra lo antes posible y estar atento a los correos electr\u00f3nicos de aspecto incompleto para las pr\u00f3ximas semanas y meses. Tambi\u00e9n puede considerar cambiar todas las contrase\u00f1as almacenadas en LastPass: los piratas inform\u00e1ticos ahora (probablemente) tambi\u00e9n tienen esos datos, simplemente no pueden desbloquearlos en este momento.<\/p>\n Fuente: LastPass<\/small><\/p>\n<\/div>\n