Una de las plataformas más conocidas y utilizadas para guardar las contraseñas confirma que el ataque que sufrió en agosto de 2022 es muchísimo más grave de lo que anticiparon: los datos robados de LastPass incluyen la bóveda de contraseñas de los usuarios, el espacio más delicado de todos los posibles. Eso sí, los ladrones no pueden acceder a los datos con facilidad: las contraseñas están encriptadas.
Con la enorme cantidad de plataformas a las que estamos apuntados, servicios de streaming, apps y demás entornos que requieren una contraseña de acceso, lo más recomendable es construir un código único para cada sitio y que sea difícil de descubrir. Ahora bien: ¿cómo recordar todas las contraseñas que utilizamos al cabo del día? La solución son aplicaciones como lastPass, una nube segura que almacena los datos más delicados para que sólo estén al alcance de la persona que los guarda. Al menos ésta es la teoría.
La bóveda de contraseñas fue robada
Bóveda de contraseñas de LastPass
LastPass ofrece almacenamiento para todos los datos privados que cualquier persona utiliza a diario en sus dispositivos. Esto atañe a las contraseñas, por supuesto, también a los nombres de usuario de cada servicio, notas útiles a la hora de gestionar las cuentas, documentos e, incluso, las tarjetas bancarias de pago. Toda esta información queda cifrada en servidores contratados por LastPass bajo encriptación de 256-bit AES. El resto de información, como direcciones URL de las páginas o los nombres de las plataformas, se guardan en texto plano. Así lo ha especificado la propia empresa.
Según toda la información recabada por LastPass tras el incidente en su plataforma provocado por un acceso no autorizado en agosto de 2022, la empresa de seguridad constató que los ladrones obtuvieron las claves de acceso de unos servidores ajenos en los que LastPass guardaba copias de seguridad de los usuarios. Como hemos dicho al inicio, ahí se localizaban las bóvedas de contraseñas cifradas, también información relacionada con dichas contraseñas y que se guardaba sin seguridad. LastPass certifica que los ladrones se llevaron los datos privados de los usuarios, en principio de todos.
Como ha corroborado la empresa, los ladrones disponen de copias de seguridad cifradas con todas las bóvedas. Pese al gravísimo problema que esto supone para los usuarios, ya que pueden recibir accesos no autorizados a todo lo que deseaban proteger, no hay constancia de que se haya vulnerado la seguridad del cifrado 256-bit AES con el que LastPass encripta las bóvedas. Eso sí, los ladrones podrían aplicar fuerza bruta y obtener las contraseñas; por más que sea casi inviable: podrían tirarse miles de millones de años para romper la seguridad de las claves, incluso con ordenadores de gran potencia (o hacer uso de un ordenador cuántico, si es que pueden acceder a uno).
Pese a que sea virtualmente imposible que los ladrones accedan a las contraseñas robadas junto con las bóvedas, no sería mala idea cambiar todos los passwords y nombres de usuario de utilizar LastPass, al menos los que resulten más delicados. Nuestra recomendación es hacerlo, también lo recomienda la propia LastPass. Toda precaución es poca.
Más información | LastPass
