El hackeo de contraseñas de LastPass genera una brecha de seguridad mayor de la esperada

El gestor de contraseñas freemium encriptadas en la nube sufrió un ataque sin precedentes el pasado mes de agosto, aunque las consecuencias han sido finalmente mayores que las que se pensaban inicialmente.

Un ciberdelincuente accedió a los datos de los usuarios (nombres, facturaciones, emails, direcciones IP y números de teléfono), almacenados en ‘bóvedas’, y robó parte del código para acceder a toda la información de la nube.

Posteriormente realizó una copia de seguridad, saltándose la protección con cifrado ‘AES’ de 256 bits y obteniendo datos no encriptados y confidenciales. Esas claves de acceso procedían de unos servidores ajenos en los que LastPass guardaba copias de seguridad de sus usuarios.

Desde LastPass se asegura que no se ha accedido a datos bancarios o de tarjetas de crédito sin cifrar, ya que su sistema no es capaz de almacenar números completos.

El origen del problema

Todo hace apuntar que el comienzo fue cuando un empleado de LastPass accedió a uno de los correos electrónicos de estafa enviados por los piratas informáticos, siguiendo la técnica del ‘spear phishing’.  A partir de ese momento, lograron obtener las credenciales de acceso a las bóvedas de contraseñas y descifrar algunos volúmenes de almacenamiento de la nube.

A pesar de que sus algoritmos son sometidos periódicamente a las últimas tecnologías de descifrado de contraseñas, mejorando así los controles criptográficos, es imposible evitar que los ciberdelincuentes se dediquen a emitir ataques phishing (mensajes emergentes como gancho). Cuando los usuarios clicasen en ellos, podrían acceder a los datos robados que no son capaces aún de descifrar. Por tanto, el mensaje que lanza LastPass es que todos los usuarios cambien sus contraseñas.

Karim Toubba (CEO de LastPass) insiste en la necesidad de tranquilizar a sus clientes, recordándoles que el gestor de contraseñas nunca se pondrá en contacto con sus clientes mediante llamadas telefónicas, mensajes de texto o correos electrónicos para verificar la información personal a través de un enlace.

El gestor de contraseñas LastPass surgió en agosto de 2008 con el objetivo de crear un espacio de almacenamiento en la nube de todos los datos y contraseñas privadas. Y es que al estar registrados en tantas plataformas, aplicaciones, juegos y servicios de streaming resulta muy difícil poder memorizar todas las credenciales, cumpliendo con la recomendación de construir un código único indescifrable para cada sitio.

Toda la información cifrada en bóvedas/servidores contratados por LastPass se encuentra bajo encriptado de 256 bits AES, aunque una parte (como las direcciones URL de las páginas o los nombres de las plataformas) son guardados en texto plano.

Ante lo acontecido con LastPass se pone en tela de juicio el rendimiento y eficiencia de los gestores de contraseñas. No significa que sean una opción insegura, pero hay que tener en cuenta que no son perfectos y que tienen un índice, aunque sea bajo, de error y vulnerabilidad.

No obstante, LastPass sigue defendiendo su fortaleza de cifrado indestructible. Y es que aseguran que solo pueden descifrarse con una clave de cifrado única derivada de la contraseña maestra que ellos mismos se encargan de almacenar y conservar.

La entrada El hackeo de contraseñas de LastPass genera una brecha de seguridad mayor de la esperada es original de MuySeguridad. Seguridad informática.