La bóveda de contraseñas de LastPass ha sido robada.
El gestor de contraseñas “LastPass” ha reconocido los daños colaterales tras la brecha de seguridad del mes de agosto y noviembre de este año, en donde el atacante robó parte del código fuente de su aplicación e información técnica para acceder a la información almacenada en la nube.
Ahora, la compañía de ciberseguridad asegura que el hackeo de contraseñas de LastPass fue peor que lo informado, pues ahora confirman que los atacantes lograron hacerse con las bóvedas de contraseñas de usuarios.
De acuerdo al informe del mencionado incidente, los datos de los usuarios no se vieron afectados, pero los actores maliciosos utilizaron la información sustraída para apuntar hacia otro empleado de LastPass, el cual tenía las credenciales de acceso para el servicio de almacenamiento externo de LastPass.
En noviembre, los ciberdelincuentes utilizaron las credenciales robadas para acceder a estos volúmenes de copia de seguridad que se encontraban en servidores situados fuera del entorno de producción de LastPass e hicieron una copia de “ciertos elementos”. Ahora descubrimos que esos “ciertos elementos” eran los siguientes:
- Bóvedas cifradas con contraseñas
- Nombres de empresas
- Nombres de usuarios
- Direcciones de facturación
- Direcciones de correo electrónico
- Números de teléfono
- Direcciones IP de los clientes
- URL de los sitios web relacionados los datos de las bóvedas
El comunicado de LastPass hace hincapié en que el servicio utiliza cifrado de última generación para que sea muy difícil para un atacante leer los archivos de la bóveda sin conocer la Contraseña Maestra, declarando:
"Estos campos cifrados permanecen protegidos con un cifrado AES de 256 bits y sólo pueden descifrarse con una clave de cifrado única derivada de la contraseña maestra de cada usuario utilizando nuestra arquitectura Zero Knowledge". Como recordatorio, la contraseña maestra nunca es conocida por LastPass y no es almacenada ni mantenida por LastPass".
Aun así, LastPass admite que si un cliente ha utilizado una contraseña maestra débil, el atacante puede ser capaz de utilizar la fuerza bruta para adivinar esta contraseña, lo que les permite descifrar la bóveda y obtener todas las contraseñas de sitios web de los clientes, como explica LastPass:
"Es importante tener en cuenta que si tu contraseña maestra no hace uso de las [mejores prácticas que recomienda la compañía], entonces se reduciría significativamente el número de intentos necesarios para adivinarla correctamente. En este caso, como medida de seguridad adicional, deberías considerar minimizar el riesgo cambiando las contraseñas de los sitios web que tengas almacenados".
LastPass ofrece un consejo de seguridad
El consejo de LastPass es que, aunque los atacantes tengan ese archivo, los clientes que usen sus configuraciones por defecto no tienen que hacer nada, aunque hayan dado estos datos en esta última actualización, ya que “llevaría a los atacantes millones de años adivinar tu contraseña maestra, y eso utilizando la tecnología de crackeado de contraseñas disponibles a nivel general”.
Los atacantes tendrían después que deducir la clave que descifra las otras contraseñas, basada en esa contraseña maestra, y descifrarlas una por una. Un proceso que tampoco es rápido ni sencillo.
Dado que una de las medidas por defecto es no reutilizar la contraseña maestra que se requiere para conectarse al servicio y que se utiliza para generar la clave única. De hecho, el servicio sugiere que los clientes generen una clave compleja para acceder al servicio, y que la utilicen única y exclusivamente para acceder a él.
Te puede interesar: Las mejores páginas web para crear videos con ayuda de una IA