En muchas ocasiones, los usuarios en España pecamos de creer que un software externalizado puede ayudar a nuestra ciberseguridad en Internet. Es lo que ocurre usualmente con los gestores de contraseñas, una gran solución para los que somos un poco despistados y no queremos tener miles de combinaciones de números y caracteres en nuestra cabeza. El más importante, LastPass, ha anunciado un robo de datos en su plataforma.
Más concretamente, unos hackers se han hecho con los llamados vaults o bóvedas de contraseñas encriptadas de los clientes. Esta bóvedas se encargan de almacenar las contraseñas, así como otro tipo de información adicional, y estas fueron sustraídas en una brecha de seguridad que tuvo lugar a principios de este año 2022.
Así lo ha asegurado Karim Toubba, CEO de LastPass, explicando que los hackers robaron una copia de seguridad de los datos de estas bóvedas mediante el uso de claves de almacenamiento en la nube que, a su vez, fueron robadas a un empleado de la compañía.
LastPass es hackeda
El caché de estas bóvedas se almacena en un "formato binario patentado" según Toubba, que contiene datos de estas bóvedas tanto sin cifrar como cifrados. Si bien no se ha especificado nada técnico sobre este formato, Toubba ha reconocido el robo de estos datos, que incluían en sus versiones no cifradas direcciones web almacenadas. Tampoco se sabe cuán recuentes son estas copias de seguridad robadas.
Para fortuna de los usuarios, hay que aclarar que estas bóvedas así como las contraseñas almacenadas en las mismas están cifradas, y solo se pueden desbloquear con una contraseña maestra que solo los clientes de cada una de estas bóvedas conocen. Lógicamente eso no evitará que los hackers intenten acceder por la fuerza a estos datos intentando averiguar estas contraseñas.
No obstante, por el otro lado se encuentra una importante filtración de datos, ya que además de estas copias de seguridad, LastPass asegura que también se sustrajeron datos de clientes como tal, incluyendo nombres, números de teléfono, información de facturación básica y correos electrónicos. Es decir, que incluso aunque las contraseñas estén ciertamente protegidas, la información de estos clientes no lo está como tal.
¿Qué puedo hacer?
Lo más importante que tienen que hacer los usuarios es sin duda alguna cambiar la contraseña maestra de LastPass por una más reciente. Eso sí, no vale cualquiera; tiene que ser una contraseña difícil de descifrar y que esté bien almacenada. Sobre todo es imperativo que esta no se use en ningún otro servicio, ya que los hackers pueden rastrear estas plataformas y dar con contraseñas equivalentes.
Si por ejemplo el usuario cree que su contraseña maestra podría verse afectada (por ser débil o cualquier otra cosa), otra opción es modificar las contraseñas que se han almacenado en las bóvedas. Sí, puede ser todo un engorro, pero como mínimo es importante que se modifiquen las contraseñas de los servicios más críticos. En caso de que estas estén protegidas por sistemas como la verificación en dos pasos, la protección será todavía mayor.