El gigante de los gestores de contraseñas LastPass ha confirmado que ciberdelincuentes robaron las contraseñas cifradas de sus clientes, que almacenan sus contraseñas y otros secretos, en una filtración de datos a principios de este año.
En una entrada actualizada en su blog, Karim Toubba, CEO de LastPass, afirma que los intrusos se hicieron con una copia de seguridad de los datos de las bóvedas de los clientes utilizando claves de almacenamiento en la nube robadas a un empleado de LastPass. La caché de las contraseñas de los clientes se almacena en un «formato binario patentado» que contiene datos cifrados y sin cifrar, pero no se especificaron los detalles técnicos y de seguridad de este formato patentado. Los datos sin cifrar incluyen direcciones web almacenadas en la cámara acorazada. No está claro cuán recientes son las copias de seguridad robadas.
LastPass dijo que las bóvedas de contraseñas de los clientes están encriptadas y sólo pueden desbloquearse con la contraseña maestra del cliente, que sólo él conoce. Pero la compañía advirtió que los ciberdelincuentes detrás de la intrusión «pueden intentar utilizar la fuerza bruta para adivinar su contraseña maestra y descifrar las copias de los datos de la bóveda que tomaron.»
Toubba dijo que los ciberdelincuentes también se llevaron grandes cantidades de datos de clientes, incluidos nombres, direcciones de correo electrónico, números de teléfono y algunos datos de facturación.
Los gestores de contraseñas son muy útiles para almacenar contraseñas, que deben ser largas, complejas y únicas para cada sitio o servicio. Pero incidentes de seguridad como éste nos recuerdan que no todos los gestores de contraseñas son iguales y que pueden ser atacados o comprometidos de diferentes maneras. Dado que el modelo de amenazas de cada uno es diferente, nadie tendrá los mismos requisitos que otro.
En un caso tan raro como este, si un malhechor tiene acceso a los almacenes de contraseñas cifradas de los clientes, «todo lo que necesitaría es la contraseña maestra de la víctima». Un almacén de contraseñas expuesto o comprometido es tan fuerte como el cifrado -y la contraseña- utilizados para descifrarlo.
Lo mejor que puede hacer como cliente de LastPass es cambiar su contraseña maestra actual de LastPass por una contraseña nueva y única (o frase de contraseña) que esté escrita y guardada en un lugar seguro. Esto significa que su bóveda actual de LastPass está asegurada.
Si cree que su bóveda de contraseñas de LastPass podría verse comprometida – como si su contraseña maestra es débil o la ha utilizado en otro lugar – debe comenzar a cambiar las contraseñas almacenadas en su bóveda de LastPass. Empiece por las cuentas más importantes, como las de correo electrónico, las de su plan de telefonía móvil, sus cuentas bancarias y sus cuentas de redes sociales, y vaya bajando en la lista de prioridades.
La buena noticia es que cualquier cuenta protegida con autenticación de dos factores hará que sea mucho más difícil para un atacante acceder a tus cuentas sin ese segundo factor, como una ventana emergente del teléfono o un código enviado por mensaje de texto o correo electrónico. Por eso es importante proteger primero las cuentas de segundo factor, como las de correo electrónico y las del plan de telefonía móvil.