Este popular gestor de contraseñas ha sido hackeado, ¿están tus contraseñas en peligro?

Desde hace tiempo se viene hablando del fin de las contraseñas. Y la realidad es que hay muchos avances en este aspecto, hasta el punto de que no son pocas las alternativas que están llegando al mercado para poder identificarnos en los sitios web sin necesidad de añadir una contraseña. Pero mientras tanto nos toca seguir confiando en nuestra memoria, o bien en un gestor que pueda guardarnos las contraseñas de forma segura, y que por otro lado las pueda recuperar fácilmente cuando son necesarias. Una de esas plataformas es LastPass, y lamentablemente ahora ha sufrido un ataque que pone en peligro la seguridad de muchas personas.

Incidente de seguridad en LastPass

La propia empresa ha comunicado este problema en la seguridad de sus servidores a través de su propio Blog. Parece ser que un tercero, entendemos que un hacker o ciberdelincuente, habría tenido acceso a un servicio de almacenamiento en la nube donde normalmente se guardan copias de seguridad de los datos, que básicamente son contraseñas, que guarda la empresa como respaldo en el caso de que ocurra algún percance con la copia principal. Lógicamente esto es muy grave, ya que permite a los hackers acceder a unos datos donde seguramente se encuentren las contraseñas de miles de personas.

Parece ser que los delincuentes se hicieron con los datos de acceso de un empleado, que lógicamente tenía privilegios para acceder a esos datos. Lo demás os lo podéis imaginar. De esta manera ha sido relativamente sencillo para los hackers acceder a estos datos en los servidores, y por tanto a las contraseñas de los clientes de la plataforma. En palabras de la propia empresa, parece que la envergadura de los datos robados es bastante importante

“Nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio de LastPass”

Por lo que, si eres usuario de la aplicación, es posible que todas las contraseñas e información personal almacenada en este servicio cayera en manos de los hackers. Ahora bien, la buena noticia es que parece que los datos están cifrados, y que, por tanto, aunque lo intenten, es muy difícil que puedan dar con la clave de cifrado necesaria para acceder a los datos, y que tan siquiera el usuario conoce, ya que es una información que se cifra y descifra de manera independiente. Esto no quiere decir que con los datos que han obtenido, los que no están cifrados, no puedan intentar hacer ataques de phishing contra los usuarios de la plataforma, o como dicen desde LastPass, utilizar la fuerza bruta, algo que se entiende una oleada de intentos de descifrado a gran escala, pero es remoto que tenga algún éxito.

De todas formas, lo más recomendable, según la propia empresa, es no hacer nada si utilizábamos hasta ahora la contraseña general de doce caracteres. Si es así, aseguran que un hacker necesitaría millones de años para poder dar con nuestra contraseña con los medios actuales. Por lo que lo único que nos piden, es no reproducir esta contraseña en otros sitios web, para que no caiga en manos de otros hackers.