Si alguna vez usó LastPass, debe cambiar todas sus contraseñas ahora

Los datos personales y las bóvedas de contraseñas que contienen las credenciales de inicio de sesión de millones de usuarios están ahora en manos de delincuentes. Si alguna vez usó el administrador de contraseñas, LastPass, debe cambiar todas sus contraseñas para todo, ahora. Y debe tomar inmediatamente más medidas para protegerse.

¿Qué sucedió en la filtración de datos de LastPass de 2022?

LastPass es un servicio de administración de contraseñas que opera en un modelo «freemium». Los usuarios pueden almacenar todas sus contraseñas e inicios de sesión para los servicios en línea con LastPass y acceder a ellos a través de la interfaz web, a través de complementos del navegador y a través de aplicaciones dedicadas para teléfonos inteligentes.

Las contraseñas se almacenan en «bóvedas», que están protegidas por una sola contraseña maestra.

En agosto de 2022, LastPass anunció que los delincuentes habían utilizado una cuenta de desarrollador comprometida para acceder al entorno de desarrollo, el código fuente y la información técnica de LastPass.

Se publicaron más detalles en noviembre de 2022, cuando LastPass agregó que se habían revelado algunos datos de clientes.

La verdadera gravedad de la infracción se reveló el 22 de diciembre, cuando una publicación de blog de LastPass señaló que los delincuentes habían utilizado parte de la información obtenida en el ataque anterior para robar datos de copia de seguridad, incluidos nombres de clientes, direcciones y números de teléfono, direcciones de correo electrónico, direcciones IP, y números parciales de tarjetas de crédito. Además, lograron robar bóvedas de contraseñas de usuarios que contenían direcciones URL y nombres de sitios web sin cifrar, así como nombres de usuario y contraseñas cifradas.

¿Es difícil para los delincuentes descifrar su contraseña maestra de LastPass?

Teóricamente, sí, los piratas informáticos deberían tener dificultades para descifrar su contraseña maestra. La publicación del blog de LastPass señala que si utiliza la configuración recomendada predeterminada, «llevaría millones de años adivinar su contraseña maestra utilizando la tecnología de descifrado de contraseñas generalmente disponible».

LastPass requiere que la contraseña maestra tenga un mínimo de 12 caracteres y recomienda «que nunca reutilice su contraseña maestra en otros sitios web».

Sin embargo, LastPass es único entre los servicios de gestión de contraseñas, ya que permite a los usuarios establecer una pista de contraseña para recordarles su contraseña maestra en caso de que la pierdan.

Efectivamente, esto alienta a los usuarios a usar palabras y frases del diccionario como parte de su contraseña, en lugar de una contraseña segura verdaderamente aleatoria. Ninguna sugerencia de contraseña ayudará si su contraseña es “lVoT=.N]4CmU”.

Las bóvedas de contraseñas de LastPass han estado en manos de delincuentes desde hace algún tiempo y, aunque están encriptadas, eventualmente estarán sujetas a ataques de fuerza bruta.

Los atacantes encontrarán su trabajo más fácil gracias a la existencia de bases de datos masivas de contraseñas de uso común. Puede descargar una lista de contraseñas de 17 GB que comprende los 613 millones de contraseñas más comunes de haveibeenpwned , por ejemplo. Otras listas de contraseñas y credenciales están disponibles en la dark web.

Probar cada uno de los quinientos millones de claves más comunes contra una bóveda individual tomaría minutos, y aunque relativamente pocos serían los 12 caracteres requeridos, es probable que los ciberdelincuentes puedan acceder fácilmente a una buena proporción de bóvedas.

Agregue a eso el hecho de que el poder de cómputo aumenta año tras año y que los delincuentes motivados pueden usar redes distribuidas para ayudar con el esfuerzo; “millones de años” no parece factible para la mayoría de las cuentas.

¿La filtración de LastPass solo afecta a las contraseñas?

Si bien la noticia principal es que los delincuentes pueden tomarse su tiempo para ingresar a su bóveda de LastPass, pueden aprovecharse de usted de otras maneras usando su nombre, dirección, número de teléfono, dirección de correo electrónico, dirección IP y número de tarjeta de crédito parcial.

Estos pueden usarse para una serie de propósitos nefastos, incluidos los ataques de phishing dirigido contra usted y sus contactos, el robo de identidad, la obtención de créditos y préstamos a su nombre y los ataques de intercambio de SIM.

¿Cómo puede protegerse después de las filtraciones de datos de LastPass?

Debe suponer que dentro de unos años, su contraseña maestra se verá comprometida y los delincuentes conocerán todas las contraseñas que contiene. Debe cambiarlas ahora y usar contraseñas únicas que nunca haya usado antes y que no estén en ninguna de las listas de contraseñas de uso común.

Con respecto a los otros delincuentes de datos obtenidos de LastPass, debe congelar su crédito y contratar un servicio de monitoreo de crédito para monitorear cualquier nueva tarjeta o solicitud de préstamo a su nombre. Si puede cambiar su número de teléfono sin demasiados inconvenientes, también debe hacerlo.

Asuma la responsabilidad de su propia seguridad

Es fácil culpar a LastPass por las violaciones de datos que hicieron que sus bóvedas de contraseñas y sus datos personales cayeran en manos de delincuentes, pero los servicios de administración de contraseñas que protegen su vida y lo ayudan a generar combinaciones únicas siguen siendo la mejor manera de proteger su vida en línea.

Una forma de dificultar que los posibles ladrones obtengan sus datos vitales es alojar un administrador de contraseñas en su propio hardware. Es económico, fácil de hacer y algunas soluciones, como VaultWarden, incluso se pueden implementar en una Raspberry Pi Zero.