La semana pasada, justo antes de Navidad, LastPass dej\u00f3 caer un anuncio bomba<\/a>: como resultado de una brecha en agosto, que condujo a otra brecha en noviembre, los piratas inform\u00e1ticos hab\u00edan puesto sus manos en las b\u00f3vedas de contrase\u00f1as de los usuarios. Si bien la empresa insiste en que su informaci\u00f3n de inicio de sesi\u00f3n a\u00fan est\u00e1 segura, algunos expertos en seguridad cibern\u00e9tica critican fuertemente su puesto<\/a>diciendo que podr\u00eda hacer que las personas se sintieran m\u00e1s seguras de lo que realmente son y se\u00f1alando que este es solo el \u00faltimo de una serie de incidentes que dificultan la confianza en el administrador de contrase\u00f1as.<\/p>\n<\/div>\n La declaraci\u00f3n de LastPass del 22 de diciembre estaba \u00abllena de omisiones, verdades a medias y mentiras descaradas\u00bb, dice una publicaci\u00f3n de blog de Wladimir Palant<\/a>, un investigador de seguridad conocido por ayudar a desarrollar AdBlock Pro originalmente, entre otras cosas. Algunas de sus cr\u00edticas tienen que ver con c\u00f3mo la compa\u00f1\u00eda ha enmarcado el incidente y cu\u00e1n transparente est\u00e1 siendo; acusa a la empresa de intentar retratar el incidente de agosto<\/a> donde LastPass dice que \u00abse robaron parte del c\u00f3digo fuente y la informaci\u00f3n t\u00e9cnica\u00bb como una infracci\u00f3n separada cuando dice que, en realidad, la empresa \u00abno pudo contener\u00bb la infracci\u00f3n.<\/p>\n<\/div>\n \u00abLa afirmaci\u00f3n de LastPass de ‘conocimiento cero’ es una mentira descarada\u00bb.<\/p>\n<\/div>\n<\/div>\n Tambi\u00e9n destaca la admisi\u00f3n de LastPass de que los datos filtrados inclu\u00edan \u00ablas direcciones IP desde las que los clientes acced\u00edan al servicio de LastPass\u00bb, diciendo que eso podr\u00eda permitir al actor de amenazas \u00abcrear un perfil de movimiento completo\u00bb de los clientes si LastPass registrara cada direcci\u00f3n IP que us\u00f3. con su servicio.<\/p>\n<\/div>\n Otro investigador de seguridad, Jeremi Gosney, escribi\u00f3 una publicaci\u00f3n larga sobre Mastodon<\/a> explicando su recomendaci\u00f3n de pasar a otro administrador de contrase\u00f1as. \u00abLa afirmaci\u00f3n de LastPass de ‘conocimiento cero’ es una mentira descarada\u00bb, dice, alegando que la empresa tiene \u00abtanto conocimiento como el que un administrador de contrase\u00f1as puede tener\u00bb. <\/p>\n<\/div>\n LastPass afirma que su arquitectura de \u00abconocimiento cero\u00bb mantiene a los usuarios seguros porque la empresa nunca tiene acceso a su contrase\u00f1a maestra, que es lo que los piratas inform\u00e1ticos necesitar\u00edan para desbloquear las b\u00f3vedas robadas. Si bien Gosney no discute ese punto en particular, s\u00ed dice que la frase es enga\u00f1osa. \u201cCreo que la mayor\u00eda de las personas imaginan su b\u00f3veda como una especie de base de datos encriptada donde todo el archivo est\u00e1 protegido, pero no, con LastPass, su b\u00f3veda es un archivo de texto sin formato y solo algunos campos seleccionados est\u00e1n encriptados\u201d.<\/p>\n<\/div>\n Palant tambi\u00e9n se\u00f1ala que el cifrado solo le sirve de algo si los piratas inform\u00e1ticos no pueden descifrar su contrase\u00f1a maestra, que es la principal defensa de LastPass en su publicaci\u00f3n: si usa sus valores predeterminados para la longitud y el fortalecimiento de la contrase\u00f1a y no la ha reutilizado en otro sitio, \u00abtomar\u00eda millones de a\u00f1os adivinar su contrase\u00f1a maestra utilizando la tecnolog\u00eda de descifrado de contrase\u00f1as generalmente disponible\u00bb, escribi\u00f3 Karim Toubba, director ejecutivo de la compa\u00f1\u00eda. <\/p>\n<\/div>\n \u201cEsto prepara el terreno para culpar a los clientes\u201d, escribe Palant, diciendo que \u201cLastPass debe ser consciente de que las contrase\u00f1as voluntad<\/em> ser descifrado para al menos algunos de sus clientes. Y ya tienen una explicaci\u00f3n conveniente: estos clientes claramente no siguieron sus mejores pr\u00e1cticas\u201d. Sin embargo, tambi\u00e9n se\u00f1ala que LastPass no necesariamente ha aplicado esos est\u00e1ndares. A pesar de que hizo que las contrase\u00f1as de 12 caracteres fueran las predeterminadas en 2018, Palant dice: \u00abPuedo iniciar sesi\u00f3n con mi contrase\u00f1a de ocho caracteres sin advertencias ni indicaciones para cambiarla\u00bb.<\/p>\n<\/div>\n \u00abEsencialmente cometen todos los pecados ‘crypto 101′\u00bb<\/p>\n<\/div>\n<\/div>\n Tanto Gosney como Palant tambi\u00e9n est\u00e1n en desacuerdo con la criptograf\u00eda real de LastPass, aunque por diferentes razones. Gosney acusa a la empresa de cometer b\u00e1sicamente \u00abtodos los pecados ‘crypto 101′\u00bb con la forma en que se implementa su encriptaci\u00f3n y c\u00f3mo administra los datos una vez que se cargan en la memoria de su dispositivo. <\/p>\n<\/div>\n Mientras tanto, Palant critica la publicaci\u00f3n de la compa\u00f1\u00eda por pintar su algoritmo de fortalecimiento de contrase\u00f1as, conocido como PBKDF2, como \u00abm\u00e1s fuerte de lo normal\u00bb. La idea detr\u00e1s del est\u00e1ndar es que hace que sea m\u00e1s dif\u00edcil adivinar sus contrase\u00f1as por fuerza bruta, ya que tendr\u00eda que realizar una cierta cantidad de c\u00e1lculos en cada intento. \u00abMe pregunto seriamente lo que LastPass considera t\u00edpico\u00bb, escribe Palant, \u00abdado que 100\u00a0000 iteraciones de PBKDF2 es el n\u00famero m\u00e1s bajo que he visto en cualquier administrador de contrase\u00f1as actual\u00bb. <\/p>\n<\/div>\n Bitwarden, otro administrador de contrase\u00f1as popular, dice que su aplicaci\u00f3n usa 100,001 iteraciones<\/a>y que suma otras 100.000 iteraciones cuando su contrase\u00f1a se almacena en el servidor para un total de 200.001. 1 contrase\u00f1a dice<\/a> usa 100,000 iteraciones, pero su esquema de cifrado significa que debe tener una clave secreta y su contrase\u00f1a maestra para desbloquear sus datos. Esa caracter\u00edstica \u201cgarantiza que si alguien obtiene una copia de su b\u00f3veda, simplemente no puede acceder a ella solo con la contrase\u00f1a maestra, lo que la hace indescifrable\u201d, seg\u00fan Gosney.<\/p>\n<\/div>\n Palant tambi\u00e9n se\u00f1ala que LastPass no siempre ha tenido ese nivel de seguridad y que las cuentas m\u00e1s antiguas pueden tener solo 5000 iteraciones o menos, algo el borde<\/em> confirmado la semana pasada. Eso, junto con el hecho de que todav\u00eda le permite tener una contrase\u00f1a de ocho caracteres, hace que sea dif\u00edcil tomar en serio las afirmaciones de LastPass de que lleva millones de a\u00f1os descifrar una contrase\u00f1a maestra. Incluso si eso es cierto para alguien que cre\u00f3 una nueva cuenta, \u00bfqu\u00e9 pasa con las personas que han usado el software durante a\u00f1os? Si LastPass no ha emitido una advertencia o forzado una actualizaci\u00f3n a esas mejores configuraciones (lo que Palant dice que no le ha sucedido a \u00e9l), entonces sus \u00abpredeterminados\u00bb no son necesariamente \u00fatiles como un indicador de cu\u00e1n preocupados deber\u00edan estar sus usuarios.<\/p>\n<\/div>\n Otro punto conflictivo es el hecho de que LastPass tiene, durante a\u00f1os<\/a>, ignor\u00f3 las s\u00faplicas de encriptar datos como URL. Palant se\u00f1ala que saber d\u00f3nde tienen las cuentas las personas podr\u00eda ayudar a los piratas inform\u00e1ticos a atacar espec\u00edficamente a las personas. \u201cLos actores de amenazas amar<\/em> para saber a qu\u00e9 tienes acceso. Luego, podr\u00edan producir correos electr\u00f3nicos de phishing bien dirigidos solo para las personas que merecen su esfuerzo\u201d, escribi\u00f3. Tambi\u00e9n se\u00f1ala que, a veces, las URL guardadas en LastPass pueden dar a las personas m\u00e1s acceso del previsto, usando el ejemplo de un enlace de restablecimiento de contrase\u00f1a que no ha caducado correctamente.<\/p>\n<\/div>\n Tambi\u00e9n hay un \u00e1ngulo de privacidad; puedes decir un lote<\/em> sobre una persona en funci\u00f3n de los sitios web que utiliza. \u00bfQu\u00e9 pasa si usaste LastPass para almacenar la informaci\u00f3n de tu cuenta para un sitio porno especializado? \u00bfAlguien podr\u00eda averiguar en qu\u00e9 \u00e1rea vive en funci\u00f3n de sus cuentas de proveedores de servicios p\u00fablicos? \u00bfLa informaci\u00f3n de que usas una aplicaci\u00f3n de citas gay? poner en peligro su libertad o su vida<\/a>?<\/p>\n<\/div>\n Una cosa en la que varios expertos en seguridad, incluidos Gosney y Palant, parecen estar de acuerdo es el hecho de que esta violaci\u00f3n no es una prueba positiva de que los administradores de contrase\u00f1as basados \u200b\u200ben la nube sean una mala idea. Esto parece ser en respuesta a las personas que evangelizan los beneficios de los administradores de contrase\u00f1as completamente fuera de l\u00ednea (o incluso simplemente escribiendo contrase\u00f1as generadas aleatoriamente en un cuaderno, como yo vi a un comentarista sugerir<\/a>). Hay, por supuesto, beneficios obvios en este enfoque: una empresa que almacena millones de contrase\u00f1as de personas<\/a> obtendr\u00e1 m\u00e1s atenci\u00f3n de los piratas inform\u00e1ticos que la computadora de un individuo, y llegar a algo que no est\u00e1 en la nube es mucho m\u00e1s dif\u00edcil. <\/p>\n<\/div>\n Pero, al igual que las promesas de Crypto de permitirle ser su propio banco, ejecutar su propio administrador de contrase\u00f1as puede presentar m\u00e1s desaf\u00edos de los que la gente cree. Perder su b\u00f3veda debido a un bloqueo del disco duro u otro incidente podr\u00eda ser catastr\u00f3fico, pero hacer una copia de seguridad presenta el riesgo de hacerlo m\u00e1s vulnerable al robo. (Y record\u00f3 decirle a su software de copia de seguridad autom\u00e1tica en la nube que no cargue sus contrase\u00f1as, \u00bfverdad?) Adem\u00e1s, sincronizar una b\u00f3veda fuera de l\u00ednea entre dispositivos es, por decirlo suavemente, un poco molesto.<\/p>\n<\/div>\n En cuanto a lo que la gente deber\u00eda hacer al respecto, tanto Palant como Gosney recomiendan al menos considerar cambiar a otro administrador de contrase\u00f1as, en parte debido a c\u00f3mo LastPass ha manejado esta brecha y el hecho de que es el s\u00e9ptimo incidente de seguridad de la empresa<\/a> en poco m\u00e1s de una d\u00e9cada. \u00abEst\u00e1 muy claro que no se preocupan por su propia seguridad, y mucho menos por la suya\u00bb, escribe Gosney, mientras Palant pregunta por qu\u00e9 LastPass no detect\u00f3 que los piratas inform\u00e1ticos estaban copiando las b\u00f3vedas de su almacenamiento en la nube de terceros mientras estaba sucediendo. (La publicaci\u00f3n de la compa\u00f1\u00eda dice que \u00abse agregaron capacidades adicionales de registro y alerta para ayudar a detectar cualquier otra actividad no autorizada\u00bb).<\/p>\n<\/div>\n LastPass ha dicho que la mayor\u00eda de los usuarios no tendr\u00e1n que tomar ninguna medida para protegerse despu\u00e9s de esta infracci\u00f3n. Palant no est\u00e1 de acuerdo y califica la recomendaci\u00f3n de \u201cnegligencia grave\u201d. En cambio, dice que cualquiera que tuviera una contrase\u00f1a maestra simple, un bajo n\u00famero de iteraciones (as\u00ed es como puedes verificar<\/a>), o que es potencialmente un \u00abobjetivo de alto valor\u00bb deber\u00eda considerar cambiar todas sus contrase\u00f1as de inmediato. <\/p>\n<\/div>\n \u00bfEs eso lo m\u00e1s divertido que puedes hacer durante las vacaciones? No. Pero tampoco lo es limpiar despu\u00e9s de que alguien accedi\u00f3 a sus cuentas con una contrase\u00f1a robada.<\/p>\n<\/div>\n<\/div>\n