Los gestores de contraseñas pueden ser muy útiles a la hora de almacenar y mantener a salvo nuestros datos de inicio de sesión en un mundo en el que cada vez utilizamos más aplicaciones y servicio web. Sin embargo, al igual que cualquier sistema informático, no son infalibles. LastPass es un claro ejemplo de ello.
El software, que presume de ser uno de los gestores de contraseñas más importantes del mercado, ha sufrido varios incidentes de seguridad, siendo los de este año los más graves. Un grupo de ciberdelincuentes anónimos ha conseguido hacerse con una copia de las bóvedas cifradas de contraseñas de los clientes.
Un año para el olvido para LastPass
En el tramo final de 2022, y a pocos días de la Navidad, la compañía ha reconocido la brecha de seguridad en la que no solo se han visto expuestas las bóvedas de los clientes, sino también otra información relacionada que no estaba cifrada. Ahora bien, la gran pregunta es cómo llegamos hasta esta situación y cuáles son los riesgos. Veamos.
Los problemas de LastPass este año comenzaron en agosto, cuando sus sistemas de seguridad fueron vulnerados. La compañía anunció en ese momento que “una parte no autorizada” había utilizado una cuenta de desarrollador comprometida para robar parte del código fuente de su aplicación e información técnica.
De acuerdo al informe del mencionado incidente, los datos de los usuarios no se vieron afectados, pero los actores maliciosos utilizaron la información sustraída para apuntar hacia otro empleado de LastPass. Este, precisamente, tenía las credenciales de acceso para el servicio de almacenamiento externo de LastPass.
En noviembre, los ciberdelincuentes utilizaron las credenciales robadas para acceder a estos volúmenes de copia de seguridad que se encontraban en servidores situados fuera del entorno de producción de LastPass e hicieron una copia de “ciertos elementos”. Ahora descubrimos que esos “ciertos elementos” eran los siguientes:
- Bóvedas cifradas con contraseñas
- Nombres de empresas
- Nombres de usuarios
- Direcciones de facturación
- Direcciones de correo electrónico
- Números de teléfono
- Direcciones IP de los clientes
- URL de los sitios web relacionados los datos de las bóvedas
Bóvedas cifradas, pero…
Como hemos mencionado a lo largo del artículo, las bóvedas con contraseñas se encuentran cifradas. Específicamente estamos hablando de un sistema de protección de AES de 256 bits. Técnicamente, estas se pueden descifrar únicamente con la contraseña maestra de cada usuario, contraseña que, según LastPass, la compañía no tiene ni almacena en ningún sitio.
Sin embargo, este escenario también tiene sus riesgos, y la magnitud de estos dependerá de la fortaleza de las contraseñas de los usuarios. Aunque es poco probable, los atacantes podrían utilizar la fuerza bruta para intentar adivinar las contraseñas maestras de las bóvedas, una tarea que, vale la pena mencionar, demandaría gran cantidad de tiempo y capacidad de cálculo.
A partir de 2018, LastPass elevó sus requisitos para establecer contraseñas maestras, pero antes de ese cambio, los usuarios tenían la posibilidad de crear contraseñas más débiles. Si ese es el caso, la compañía recomienda cambiar las contraseñas de todos los sitios web en los que se utilizaba el servicio, aunque no sería mala opción también cambiar la contraseña maestra.
Pero, no tan rápido, ahí no acaban los riesgos. Los ciberdelincuentes todavía tienen una buena cantidad de información robada a LastPass que no está cifrada que puede ser utilizada para montar campañas de phishing. Uno de los elementos más delicados para la seguridad, según el investigador de ciberseguridad de Citizen Labs, John Scott-Railton, son las URL sin cifrar.
Estas pueden brindar a los actores maliciosos información importante (y confidencial) para ejecutar delitos cibernéticos. Desde el punto de vista de la ingeniería social, recordemos que era el método preferido de atacantes como Lapsus$, es muy recomendable prestación especial atención a los correos electrónicos recibidos.
Los delincuentes podrían, por ejemplo, suplantar la identidad de ciertos servicios o páginas web y, con el argumento de la brecha de seguridad de LastPass, pedirles a los usuarios que cambien sus contraseñas. Si estos caen en la trampa, se convertirían automáticamente en víctimas, porque sus datos de inicio de sesión serían capturados.
Es preciso recordar que la verificación en dos pasos, también conocida como 2FA, es un recurso muy importante para evitar problemas de seguridad. Como recomendación adicional, es mejor utilizar la alternativa de una aplicación de autenticación antes que la recepción de códigos por SMS, debido a los riesgos del ‘SIM swapping’.
Imágenes: LastPass | Pngall
Ver 56 comentarios