Es uno de los principales servicios -ultrasensible- que permite proteger tus contraseñas en Internet para encontrarlas rápidamente, desde un teléfono inteligente o una computadora: el administrador de contraseñas de LastPass fue objeto de una importante filtración de datos, anunció la compañía en an entrada de blog publicada el jueves 22 de diciembre y firmado por su presidente y director general, Karim Toubba.
Una primera brecha, reportada en agosto, permitió a los piratas informáticos recuperar información técnica. Gracias a ellos, a principios de diciembre lograron llegar a un empleado de la empresa para recuperar un nombre de usuario, una contraseña y una clave de cifrado al abrir el acceso a las copias de seguridad informáticas de LastPass, alojadas por un subproceso. Inicialmente consoladorla compañía estadounidense ha cambiado de tono y aconseja a sus usuarios que tengan cuidado.
Los piratas informáticos, de hecho, absorbieron parte de estas copias de seguridad, que albergaban información proporcionada por los clientes. Entre los datos personales que se recuperan se encuentran su apellido, nombre, dirección, teléfono, correo electrónico, dirección IP -el número de identificación del dispositivo utilizado para conectarse a Internet- y, opcionalmente, el nombre de la empresa. Desafortunadamente, LastPass no dice cuántos de sus usuarios se ven afectados por esta filtración.
Estos datos son valiosos para los piratas informáticos porque pueden facilitar esquemas de phishing (suplantación de identidad) para extraer información aún más confidencial de los clientes de LastPass. En este sentido, la empresa advierte a sus usuarios que nunca se pondrá en contacto con ellos para solicitarles la contraseña maestra, que utilizan para abrir la aplicación LastPass. Además, no llamará a sus clientes, ni enviará un correo electrónico ni enviará un SMS pidiéndoles que hagan clic en un enlace que confirme su información personal.
Las contraseñas permanecen encriptadas
Según la empresa estadounidense, las contraseñas de sus clientes también fueron succionadas. Sin embargo, a diferencia de la información personal mencionada anteriormente, estos datos permanecen protegidos por un cifrado fuerte, AES de 256 bits (para Estándar de cifrado avanzado – “estándar de cifrado avanzado”). LastPass afirma que sería muy difícil para los piratas informáticos romper la barrera AES para acceder a la lista de contraseñas almacenadas por sus clientes. La compañía, que se apoya en esta investigación en la empresa de ciberseguridad Mandiant, advierte, sin embargo, que algunas empresas que utilizan sus servicios están optando por otro sistema de cifrado para sus cuentas LastPass, potencialmente menos robusto.
Para desbloquear este cifrado y acceder a la lista de contraseñas de los clientes, es necesario conocer sus contraseñas maestras. Sin embargo, según el CEO de LastPass, los piratas informáticos no pudieron recuperarlos porque solo los clientes conocen este preciado sésamo, una medida de seguridad conocida por los expertos como “ arquitectura de conocimiento cero 🇧🇷
Sin embargo, los piratas informáticos pueden encontrar esta contraseña particularmente sensible de diferentes maneras, en particular aplicando el método de fuerza bruta, que consiste en probar todas las combinaciones posibles. Según LastPass, es la fortaleza de la contraseña maestra lo que determina su resistencia a los ataques. Sin embargo, algunos usuarios lo eligieron por ser más corto y menos complejo que otros. La seguridad de la contraseña maestra también puede verse comprometida si sus clientes han usado una contraseña que ya se usó en otro lugar. Si es así, podría haber sido pirateado por otro equipo de piratas informáticos y luego vendido a los atacantes de LastPass.
La empresa recomienda que los usuarios que duden de la seguridad de su contraseña maestra la cambien y reemplacen todas las contraseñas almacenadas en la memoria cifrada de su cuenta. Una operación que puede llevar muchas horas, dependiendo de la cantidad de contraseñas almacenadas por los usuarios.
“Apasionado especialista en tocino. Defensor de Internet. Adicto a la cerveza. Amable aficionado a los zombis. Experto en Internet”.