No es infrecuente que, para mejorar tu seguridad, te recomienden gestores de contraseñas. Pero la realidad ha demostrado, como en el caso de LastPass, que ellos también son inseguros, y que pueden ser hackeados.
Es que LastPass este año no fue hackeado una, sino dos veces. El resultado: los ciberdelincuentes se llevaron todo el repositorio encriptado con todos los datos de los usuarios.
Es más, ahora se sabe que además, lograron hacerse con algunas contraseñas, que podrían no estar encriptadas.
El resultado: miles y miles de usuarios ven en riesgo su acceso a sitios tan valiosos como cuentas de bancos, apps financieras, login de trabajo remoto, y más. Por lo que en forma inmediata hay que tratar de cambiarlas, si es que recuerdan las contraseñas anteriores (uno de los problemas al usar este tipo de herramientas)
Después de ser pirateada por segunda vez en muchos años en agosto, la aplicación de administrador de contraseñas Lastpass anunció el jueves que la intrusión más reciente fue mucho más dañina de lo que se informó inicialmente, ya que los atacantes se robaron las bóvedas de contraseñas de los usuarios en algunos casos. Eso significa que los ladrones tienen las colecciones completas de datos personales cifrados de las personas, si no el método inmediato para desbloquearlos.
"No se accedió a los datos de los clientes durante el incidente de agosto de 2022", explicó el director ejecutivo de LastPass, Karim Toubba. Sin embargo, parte del código fuente de la aplicación se extrajo y luego se usó para engañar a un empleado de Lastpass para que renunciara a sus credenciales de acceso, luego usó esas claves para descifrar y copiar "algunos volúmenes de almacenamiento dentro del servicio de almacenamiento basado en la nube".
Entre los datos encriptados obtenidos por los piratas informáticos se incluye información básica de la cuenta del cliente, como nombres de empresas, facturación, correo electrónico y direcciones IP; y números de teléfono, continuó Toubba. "Estos campos cifrados permanecen protegidos con cifrado AES de 256 bits y solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario utilizando nuestra arquitectura Zero Knowledge", dijo Toubba. "Como recordatorio, LastPass nunca conoce la contraseña maestra y LastPass no la almacena ni la mantiene".
Igualmente, cambiar todas las contraseñas de su sitio existente por otras nuevas, así como elegir una nueva contraseña maestra, podría resultar necesario en última instancia para recuperar su seguridad en línea, indicó The Verge.