\n<\/p>\n
Es uno de los principales servicios -ultrasensible- que te permite proteger tus contrase\u00f1as en Internet para encontrarlas r\u00e1pidamente, desde un smartphone o un ordenador: el gestor de contrase\u00f1as de LastPass ha sido objeto de una importante fuga de datos, la empresa anunci\u00f3 en una publicaci\u00f3n de blog publicada el jueves 22 de diciembre y firmada por su presidente y director ejecutivo, Karim Toubba.<\/p>\n
Una primera brecha, reportada en agosto, hab\u00eda permitido a los piratas inform\u00e1ticos recuperar informaci\u00f3n t\u00e9cnica. Gracias a ellos, a principios de diciembre pudieron dirigirse a un empleado de la empresa para recuperar un nombre de usuario, una contrase\u00f1a y una clave de cifrado que abr\u00eda el acceso a las copias de seguridad inform\u00e1ticas de LastPass, alojadas por un subtratador. Inicialmente tranquilizador, la empresa estadounidense ha cambiado de tono, aconsejando a sus usuarios que tengan cuidado.<\/p>\n
Los piratas inform\u00e1ticos, de hecho, absorbieron parte de estas copias de seguridad, que albergaban informaci\u00f3n proporcionada por los clientes. Entre los datos personales que se recuperan se encuentran su apellido, nombre, direcci\u00f3n, tel\u00e9fono, correo electr\u00f3nico, direcci\u00f3n IP -el n\u00famero de identificaci\u00f3n del dispositivo utilizado para conectarse a Internet- y, opcionalmente, el nombre de su empresa. Desafortunadamente, LastPass no dice cu\u00e1ntos de sus usuarios se ven afectados por esta filtraci\u00f3n.<\/p>\n Estos datos son valiosos para los piratas inform\u00e1ticos porque pueden facilitar esquemas de phishing (suplantaci\u00f3n de identidad<\/em>) destinado a extraer informaci\u00f3n a\u00fan m\u00e1s confidencial de los clientes de LastPass. En este sentido, la empresa advierte a sus usuarios que nunca se pondr\u00e1 en contacto con ellos para pedirles la contrase\u00f1a maestra, que utilizan para abrir la aplicaci\u00f3n LastPass. Adem\u00e1s, no llamar\u00e1 a sus clientes, no les enviar\u00e1 un correo electr\u00f3nico ni les enviar\u00e1 un SMS pidi\u00e9ndoles que hagan clic en un enlace para confirmar su informaci\u00f3n personal.<\/p>\n Seg\u00fan la empresa americana, tambi\u00e9n han succionado las contrase\u00f1as de sus clientes. Sin embargo, a diferencia de la informaci\u00f3n personal mencionada anteriormente, estos datos permanecen protegidos por un cifrado fuerte, AES de 256 bits (para Est\u00e1ndar de cifrado avanzado<\/em> \u2013 \u201cest\u00e1ndar de cifrado avanzado\u201d). LastPass afirma que ser\u00eda muy dif\u00edcil para los piratas inform\u00e1ticos romper la barrera AES para acceder a la lista de contrase\u00f1as almacenadas por sus clientes. La compa\u00f1\u00eda, que en esta investigaci\u00f3n est\u00e1 respaldada por la firma de ciberseguridad Mandiant, advierte, sin embargo, que algunas empresas que utilizan sus servicios est\u00e1n optando por otro sistema de encriptaci\u00f3n para sus cuentas de LastPass, potencialmente menos robusto.<\/p>\n Para poder desbloquear este cifrado y acceder a la lista de contrase\u00f1as de los clientes, es necesario conocer sus contrase\u00f1as maestras. Sin embargo, seg\u00fan el CEO de LastPass, los piratas inform\u00e1ticos no pudieron recuperarlos porque los clientes son los \u00fanicos que conocen este preciado s\u00e9samo, una medida de seguridad conocida por los expertos como \u201carquitectura de conocimiento cero\u201d.<\/p>\n Sin embargo, los piratas inform\u00e1ticos pueden encontrar esta contrase\u00f1a particularmente sensible de diferentes maneras, en particular aplicando el m\u00e9todo de fuerza bruta, que consiste en probar todas las combinaciones posibles. Seg\u00fan LastPass, es la fortaleza de la contrase\u00f1a maestra lo que determina su resistencia a los ataques. Sin embargo, algunos usuarios lo han elegido por ser m\u00e1s corto y menos complejo que otros. La seguridad de la contrase\u00f1a maestra tambi\u00e9n puede verse comprometida si sus clientes han utilizado una contrase\u00f1a que ya se ha utilizado en otros lugares. Si es as\u00ed, es posible que haya sido pirateado por otro equipo de piratas inform\u00e1ticos y luego vendido a los perpetradores del ataque LastPass.<\/p>\n La empresa recomienda que los usuarios que duden de la seguridad de su contrase\u00f1a maestra la cambien y luego reemplacen todas las contrase\u00f1as almacenadas en la memoria cifrada de su cuenta. Una operaci\u00f3n que puede llevar largas horas, dependiendo de la cantidad de contrase\u00f1as almacenadas por los usuarios.<\/p>\nLas contrase\u00f1as permanecen encriptadas<\/h2>\n