Si usas LastPass, tienes motivos para preocuparte

El pasado verano LastPass, uno de los gestores de contraseñas más populares, sufrió una brecha de seguridad. En un principio, la compañía quiso calmar a sus usuarios, afirmando que no se había visto comprometida su información personal, pero las últimas investigaciones apuntan a lo contrario. Cuando se hizo pública la brecha de seguridad el pasado mes de agosto, LastPass informó de la filtración de partes de su código fuente, así como de información técnica patentada por la compañía. Sin embargo, los ciberdelincuentes fueron más allá, logrando acceso a la información personal y los metadatos de los usuarios del gestor de contraseñas.

De esta manera, los nombres de las personas y empresas que utilizan el servicio, las direcciones de facturación, los correos electrónicos, las direcciones IP y los números de teléfono de los clientes se han visto comprometidos. Hasta y dentro de la gravedad, todo indicaba que había muchos elementos comunes con otras brechas de seguridad sufridas por otras empresas, pero lamentablemente no es así. Los criminales también consiguieron hacer copias de los repositorios de datos de usuario y contraseñas de los clientes de LastPass, obteniendo la relación de sitios web que visita con sus notas de seguridad y sus formularios rellenados.

Desde la compañía continúan tratando de enviar un mensajes de tranquilidad y, si bien no niegan que los delincuentes se hayan hecho con estos datos, precisa que la encriptación a la que está sometida esta información, un cifrado AES de 256 bits, garantiza que no podrán utilizarla pues para desbloquearlo es precisa una clave de cifrado única que depende de la contraseña maestra de cada usuario utilizando su  arquitectura Zero Knowledge. Dicho de otro modo, cuando un usuario hace uso de este servicio, la contraseña maestra únicamente se encuentra en su dispositivo, y no en los servidores de LastPass, de manera que los ciberdelincuentes tendrían que hackear el ordenador, tableta o teléfono móvil de cada usuario para acceder a todas sus contraseñas.

Por otro lado, la generalización de la autenticación de dos factores –como la introducción de un segundo código que se envía al teléfono móvil- en muchos de los servicios, también tranquiliza a quienes se pueden haber visto afectados por esta brecha de seguridad. A pesar de estas advertencias, lo más recomendable es cambiar todas las contraseñas, no sólo la maestra, sino el resto que se almacenan bajo ésta, teniendo siempre presente que las nuevas han de ser suficientemente largas y contener números, letras y caracteres especiales.

Asimismo, y dada la alarma generada por esta brecha de seguridad, es muy importante permanecer atentos a cualquier correo electrónico que se reciba de LastPass solicitando contraseñas porque es posible que en realidad se trate de un intento de phishing suplantando la identidad de LastPass.