Lo has escuchado una y otra vez: tú necesita usar una contraseña administrar para generar contraseñas fuertes y únicas y realizar un seguimiento de ellas por usted. Y si finalmente se lanzó con una opción libre y convencional, particularmente durante la década de 2010, probablemente fue LastPass. Sin embargo, para los 25,6 millones de usuarios del servicio de seguridad, la compañía hizo un anuncio preocupante el 22 de diciembre: Un incidente de seguridad que la empresa había informado previamente (el 30 de noviembre) fue en realidad una violación masiva y preocupante de datos que expuso las bóvedas de contraseña cifradas, las joyas de la corona de cualquier administrador de contraseñas, junto con otros datos del usuario.
Los detalles que LastPass proporcionó sobre la situación hace una semana eran lo suficientemente preocupantes como para que los profesionales de seguridad comenzaran rápidamente a pedir a los usuarios que cambiaran a otros servicios. Ahora, casi una semana después de la divulgación, la compañía no ha proporcionado información adicional a clientes confundidos y preocupados. LastPass no ha devuelto las múltiples solicitudes de comentarios, sobre cuántas bóvedas de contraseña se vieron comprometidas en la violación y cuántos usuarios se vieron afectados.
La compañía ni siquiera ha aclarado cuándo ocurrió la violación. Parece haber sido en algún momento después de agosto de 2022, pero el momento es significativo, porque una gran pregunta es cuánto tiempo les tomará a los atacantes comenzar “cracking,” o adivinar, las claves utilizadas para cifrar las bóvedas de contraseña robadas. Si los atacantes han tenido tres o cuatro meses con los datos robados, la situación es aún más urgente para los usuarios afectados de LastPass que si los piratas informáticos solo hubieran tenido unas pocas semanas. La compañía tampoco respondió a las preguntas de la gente sobre lo que llama “un formato binario patentado” que usa para almacenar datos de bóveda cifrados y sin cifrar. Al caracterizar la escala de la situación, la compañía dijo en su anuncio que los piratas informáticos eran “capaces de copiar una copia de seguridad de los datos de la bóveda del cliente del contenedor de almacenamiento cifrado.”
“En mi opinión, están haciendo un trabajo de clase mundial detectando incidentes y un trabajo realmente horrible que previene problemas y responde de manera transparente,” dice Evan Johnson, un ingeniero de seguridad que trabajó en LastPass hace más de siete años. “Estaría buscando nuevas opciones o buscando ver un enfoque renovado en generar confianza en los próximos meses por parte de su nuevo equipo directivo.”
La violación también incluye otros datos del cliente, incluidos nombres, direcciones de correo electrónico, números de teléfono y cierta información de facturación. Y LastPass ha sido criticado durante mucho tiempo por almacenar sus datos de bóveda en un formato híbrido donde los elementos como las contraseñas están encriptados, pero otra información, como las URL, no lo están. En esta situación, las URL de texto sin formato en una bóveda podrían dar a los atacantes una idea de lo que hay dentro y ayudarlos a priorizar qué bóvedas trabajar primero en el craqueo. Las bóvedas, que están protegidas por una contraseña maestra seleccionada por el usuario, plantean un problema particular para los usuarios que buscan protegerse a raíz de la violación, porque cambiar esa contraseña primaria ahora con LastPass no hará nada para proteger los datos de la bóveda que ya han sido robados.
O, como dice Johnson, “con las bóvedas recuperadas, las personas que piratearon LastPass tienen tiempo ilimitado para ataques fuera de línea adivinando contraseñas e intentando recuperar claves maestras específicas de los usuarios’.»
Esto significa que los usuarios de LastPass deben revisar sus bóvedas y tomar medidas adicionales para protegerse, incluido el cambio de todas sus contraseñas.
Comience activando la autenticación de dos factores para la mayor cantidad posible de sus cuentas, particularmente cuentas de alto valor como su correo electrónico, servicios financieros y cuentas de redes sociales altamente utilizadas. De esta manera, incluso si los atacantes comprometen las contraseñas de las cuentas, en realidad no pueden iniciar sesión sin el código único o la clave de autenticación de hardware que ha agregado como segundo factor. A continuación, cambie las contraseñas de todas esas cuentas sensibles y de alto valor. Y luego cambie todas las contraseñas restantes almacenadas en su bóveda LastPass.
Como está haciendo todo esto (o al menos tanto como puede), es el momento oportuno para cambiar a un nuevo administrador de contraseñas. Puede agregar cuentas al nuevo servicio a medida que las cambia. Se recomienda 1 Contraseña y el servicio gratuito Bitwarden, junto con algunas alternativas. No hemos recomendado LastPass ya que la compañía redujo sus ofertas gratuitas hace un par de años, dado que LastPass había sufrido una serie de incidentes de seguridad anteriores a este último, La violación más grave incluso fue revelada.
“Cien por ciento, sí, las personas deberían cambiar a otros administradores de contraseñas,” dice un ingeniero de seguridad superior, quien pidió no ser nombrado debido a las relaciones profesionales con personas en el equipo de seguridad de LastPass. “No pudieron hacer lo único que se supone que deben proporcionar, almacenamiento seguro de credenciales basado en la nube.”
Los profesionales de la seguridad enfatizan universalmente que la situación con LastPass no debería disuadir a las personas de usar administradores de contraseñas en general. Y si es un usuario leal de LastPass, aún debe cambiar su contraseña de bóveda, activar la autenticación de dos factores para cada cuenta que la ofrezca y cambiar todas las contraseñas en su bóveda, incluso si no migras a otro lugar del proceso.
“Como alguien con experiencia en el manejo y comunicación de notificaciones de violación de datos de la UE, diría que la estrategia de comunicación elegida por LastPass puede socavar la confianza del usuario,” dice Lukasz Olejnik, un investigador y consultor independiente de privacidad. “El gran problema también es el momento. ¿Por qué hacerlo justo antes de las vacaciones de fin de año, cuando comenzó la investigación inicial hace meses?”
Como Jeremi Gosney, un cracker de contraseñas desde hace mucho tiempo e ingeniero principal principal del equipo de seguridad de Yahoo, escrito esta semana en una extensa serie de publicaciones sobre la situación: “Solía apoyar LastPass. Lo recomendé durante años y lo defendí públicamente en los medios … Pero las cosas cambian.»