En agosto de 2022, el gestor de contraseñas LastPass informó de una “actividad inusual”, una brecha de seguridad en su entorno de desarrollo.  Lo hizo en un artículo publicado en su blog oficial, firmado por su CEO, Karim Toubba. Informaba de que alguien no autorizado había accedido a una parte de ese entorno a través de una cuenta comprometida de un desarrollador. En respuesta al incidente, explicaba, habían implementado medidas de contención y mitigación. 

En ese mismo post incluían un pequeño FAQ con las preguntas que podían estar haciéndose los usuarios. “¿Ha sido comprometida mi contraseña maestra? ¿Algún dato o información personal?“No y no”, respondieron. “¿Qué debería hacer para protegerme a mí y a mis datos? Nada”

En otro comunicado, un mes más tarde, en septiembre, se comunicó que las investigaciones realizadas concluían que no se habían visto comprometidos datos de los usuarios, tampoco contraseñas

En noviembre, una nueva actualización del post informaba de un incidente de seguridad que su equipo estaba investigando de nuevo. Habían detectado una actividad inusual en un servicio de almacenamiento en la nube de terceros. La conclusión fue que un agente no autorizado, usando información obtenida en el incidente de agosto, había sido capaz de obtener acceso a algunos datos de los clientes. Pero “las contraseñas de nuestros clientes siguen a salvo, gracias a nuestra arquitectura LastPass Zero Knowledge”, afirmaba la comunicación en ese momento. Recomendaban a los usuarios seguir las buenas prácticas de configuración recomendadas, pero nada más. El mensaje era de tranquilidad.

En diciembre de 2022, hace unos días, un nuevo comunicado cambiaba las cosas. Su investigación en curso indicaba que el agente malicioso que había accedido a los datos obtenidos del incidente de agosto había robado código fuente e información técnica de su departamento de desarrollo. A su vez esta información la había usado para atacar a un empleado de LastPass, obteniendo credenciales y llaves que eran usadas para acceder y descifrar algunos volúmenes de información de su servicio de almacenamiento en la nube. 

Una vez dentro de este servicio, el atacante obtuvo datos de la copia de seguridad de LastPass, que incluía información básica de cuentas de usuario y metadatos relacionados, incluyendo nombres de compañías, de usuarios, direcciones de facturación, correos electrónicos, números de teléfono y las IP desde donde accedían.

También pudo copiar un backup de datos de usuarios que contenían datos cifrados, incluyendo las contraseñas. “Estos campos cifrados permanecen seguros con cifrado 256-bit AES, que solo puede ser descifrado con una clave de descifrado única derivada de la contraseña maestra de cada usuario. La contraseña maestra nunca es conocida ni almacenada por LastPass”, explican. Este cifrado y descifrado se produce en el dispositivo del usuario.

¿Significa esto que mis datos están en riesgo? (Spoiler: cuidado con los intentos de suplantación)

Esta misma pregunta se la han hecho (y respondido) desde la compañía. La respuesta que ofrecen es larga y se resume en depende

Reconocen que la información que tienen los atacantes puede ser usada para adivinar las contraseñas maestras de los usuarios mediante fuerza bruta. Pero, debido a los métodos de cifrado, aseguran que esto sería “extremadamente difícil”. Eso sí, solamente en el caso de los usuarios que han seguido sus recomendaciones de buenas prácticas. Es decir, si han implementado una contraseña maestra robusta y no se reutiliza esa clave en otros sitios web. Si se hace esto, llevaría millones de años adivinar la contraseña usando tecnología estándar de crackeo de contraseñas. 

Sin embargo, si la contraseña maestra que has usado no se ajusta a sus buenas prácticas, en ese caso se reducen significativamente los intentos necesarios para adivinarla. Es decir, que aumentan las posibilidades de que un atacante sí las pueda adivinar con métodos “básicos”. Por tanto, aconsejan cambiar las contraseñas de los sitios web que has almacenado en el gestor.

También reconocen que podría ser usada la información para realizar ataques de phishing (suplantación de identidad) e ingeniería social. En este sentido, recalcan que desde la compañía nunca se pondrán en contacto por teléfono, email o mensaje de texto para verificar información o que hagas click en un enlace. 

Así que todos los usuarios de LastPass deberían estar muy atentos a los posibles intentos de phishing que los atacantes pueden intentar llevar a cabo las próximas semanas y meses aprovechando esta situación.

La compañía sí que explica que ya ha notificado a una pequeña parte de sus clientes Business (menos de un 3%) para que realizaran configuraciones concretas en sus cuentas. Si eres un cliente de este producto y aún no te han contactado, explican que no hay nada más que debas hacer.

No es la primera vez

Todo este hilo de comunicación, que va adentrándose en la investigación como si de una muñeca rusa se tratara, se puede consultar en su artículo del blog firmado por Toubba, que parece estar en constante actualización.

No es la primera vez que Lastpass tiene que comunicar un incidente de seguridad. En julio de 2015 ya reconocieron haber sido objetivo de un ataque en el que se vieron vulnerados datos de usuarios como las direcciones de correo electrónico, contraseñas e incluso las palabras clave para recordar las contraseñas. Pero esa tampoco fue su primera vez. 

En 2011 ya admitieron haber sufrido una posible brecha de seguridad.

Como se suele decir en el ámbito de la ciberseguridad, y es aplicable a todos los demás, la seguridad al cien por cien no existe. Software, aplicaciones, sistemas operativos… Todos son susceptibles de sufrir algún fallo de seguridad. Pero en el caso de soluciones dedicadas a mejorar la propia ciberseguridad de los usuarios, como es este, se convierte en un asunto más delicado. 

Lastpass es uno de los gestores de contraseñas más populares. Dada su popularidad, y por supuesto teniendo en cuenta el tipo de datos que alojan, se puede entender que el interés de los atacantes en tratar de vulnerar los sistemas de este servicio es muy alto. Pero no deja de implicar una posible merma en la confianza de los usuarios. 

Su comunicación (en el blog oficial, firmado por el CEO de la compañía) presume en cada una de las entradas de haber sido transparente en cada momento con los usuarios. Observando el hilo y las explicaciones, seguramente así sea. Pero, ¿deberían haber sido más cautos desde la primera información?

Cómo crear una contraseña maestra robusta (y el truco clave para mejorar la seguridad de las cuentas)

A la hora de crear una contraseña segura, para cualquier servicio o aplicación, siempre se recomienda que esté formada por un conjunto de caracteres variados, letras, símbolos y números, que sea extensa (puede crearse una frase para que sea más fácil de recordar) y que no incluya información personal. Es muy importante que las contraseñas sean siempre únicas, y que no se use la misma en dos servicios diferentes. 

Precisamente por el hecho de que es recomendable crear contraseñas únicas para cada cuenta online, que se cuentan por decenas. Precisamente por esto, muchos usuarios hacen uso de los gestores de contraseñas, los cuales permiten almacenar todas esas claves diferentes bajo una contraseña maestra. De esta manera, solo nos tendremos que acordar de esa llave maestra para acceder a las cuentas. Una clave que tiene que ser muy robusta, porque está custodiando todas las demás. 

¿Ayuda a mejorar la protección de las cuentas un gestor de contraseñas? Si tiendes a reutilizar contraseñas, puede interesarte para seguir unos buenos hábitos en este sentido.

¿Es necesario contar con un gestor de contraseñas para tener una buena ciberseguridad? No tiene por qué. Es una herramienta útil y un complemento muy interesante, pero hay maneras de mejorar la protección de las cuentas.

Además de lo ya mencionado, es fundamental contar con factores de doble autenticación en todas las cuentas. Es decir, a la hora de acceder a un servicio, además de introducir la contraseña, nos pedirá un código que nos puede haber llegado a través de mensaje, SMS o aplicación. Una capa de seguridad y tranquilidad adicional que permite reducir mucho la posibilidad de que alguien pueda acceder a nuestras cuentas.

Desde LastPass, recomiendan también configurar este múltiple factor de autenticación en su servicio con una aplicación propia para añadir una capa de seguridad.

En el caso de la banca y otros sectores, es obligatorio ya que los usuarios introduzcan este segundo factor para validar cualquier transacción. 

Evidentemente no es lo más cómodo del mundo, requiere una configuración y un tiempo “extra” cada vez que se accede a una cuenta. Por muy manida que esté la comparación, es como cerrar la puerta del domicilio con un simple tirón, o cerrar también la llave. Nos lleva un tiempo adicional, pero seguramente muy bien invertido. 

Mónica Valle
https://monicavalle.es
Periodista especializada en seguridad informática y tecnología. Cofundadora y directora editorial de Bit Life Media, web dedicada a la actualidad de la tecnología, ciberseguridad e innovación. Presentadora de eventos y ponente especializada en seguridad informática y concienciación. Autora de "Ciberseguridad, consejos para tener vidas digitales más seguras".

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre