Lastpass: el hackeo menos pensado
Después de ser hackeada por segunda vez, el gestor de contraseñas Lastpass reconoció que el incidente fue bastante más grave que lo que la empresa había comunicado: les robaron datos personales entre los que habrían contraseñas.
Los gestores de claves, o “password managers”, son programas que gestionan todas nuestras claves en un solo lugar, las recuerdan por nosotros y hasta nos sugieren combinaciones muy complejas de caracteres que no tenemos que recordar.
En general son útiles porque permiten generar claves más robustas y manejar las contraseñas que se utilizan. Pero tienen una gran potencial debilidad: si acceden a la clave maestra, acceden a todas las claves.
“No se accedió a los datos de los clientes durante el incidente de agosto de 2022”, explicó el director ejecutivo de Lastpass, Karim Toubba. Sin embargo, parte del código fuente de la app se extrajo y luego se usó para engañar a un empleado de Lastpass para que renunciara a sus credenciales de acceso, luego usó esas claves para descifrar y copiar “algunos volúmenes de almacenamiento”.
Entre los datos encriptados obtenidos por los piratas informáticos se incluye información básica de la cuenta del cliente, como nombres de empresas, facturación, correo electrónico y direcciones IP; y números de teléfono, continuó Toubba.
“Estos campos permanecen protegidos con cifrado AES de 256 bits y solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario utilizando nuestra arquitectura Zero Knowledge”, dijo Toubba. “Como recordatorio, Lastpass nunca conoce la contraseña maestra y Lastpass no la almacena ni la mantiene”, aseguró.
Sin embargo, muchos expertos aseguran que las contraseñas están filtradas. Por esto, es recomendable no solo cambiar la clave maestra sino también tener, siempre, el segundo factor de autenticación activado. ■