LastPass dijo que el hackeo sufrido no era grave. Los expertos no opinan lo mismo

El pasado mes de agosto los responsables de LastPass publicaban un comunicado informando a los usuarios de que su servicio había sido hackeado. El conocido gestor de contraseñas que teóricamente debería garantizar la seguridad de esas claves quedaba en entredicho, pero en LastPass parecían restar importancia a la gravedad del hackeo. Ahora varios expertos en ciberseguridad afirman que el problema era mucho más serio de lo que LastPass quería admitir.

Espera, que hubo otro hackeo. Tras el incidente de agosto, LastPass actualizó su comunicado informando de otro hackeo a finales de noviembre. La investigación del incidente ha resultado en el informe actualizado hace unos días, y según los responsables del servicio, los datos sustraídos incluyen contraseñas de usuarios.

Fuerza bruta. En LastPass aseguran que el atacante "podría intentar usar la fuerza bruta para averiguar tu contraseña maestra y descifrar las copias de la "bóveda" de datos que robó", pero eso "sería extremadamente difícil" por el tipo de cifrado que proporciona el servicio. Con 33 millones de usuarios registrados, la compañía aseguraba que los usuarios no tenían que tomar ninguna medida extra para proteger sus cuentas.

¿Millones de años? De hecho en LastPass aseguraban que si los usuarios siguieron las recomendaciones del servicio, llevaría "millones de años averiguar tu contraseña maestra" con aplicaciones de fuerza bruta.

Casi que no. El experto en ciberseguridad Jeffrey Goldberg, de la empresa rival 1Password, asegura que esa afirmación es "muy engañosa" y que aun usando esa contraseña mínima de 12 caracteres "las contraseñas creadas por humanos nunca se acercan a cumplir ese requisito" porque como señala, tratan de usar contraseñas que sean fáciles de recordar, y eso implica que no suelen ser contraseñas fuertes.

Una reciente competición mostró cómo probar 10.000 millones de contraseñas costaría unos 100 dólares: un atacante motivado —y con buenas GPUs— podría centrarse además en la forma en la que la gente normalmente crea sus contraseñas, acotando el problema.

LasPass no contuvo el problema. Wladimir Palant, un desarrollador y experto en ciberseguridad que ayudó a crear AdBlock Pro, explicaba que el comunicado de agosto no era del todo transparente y la empresa fracasó a la hora de detener el impacto del ataque. LastPass admitió además que los datos robados incluían direcciones IP desde las cuales los clientes estaban accediendo al servicio, algo que podría crear "perfiles de movimiento" de esos clientes. No solo eso: Palant también aseguraba que el requisito de los 12 caracteres no es tal: "yo puedo entrar con mi contraseña de ocho caracteres sin avisos o recomendaciones para cambiarlo".

"Mentira descarada". Otro experto en este ámbito, Jeremi Gosney, explicaba que la afirmación de LastPass de no saber nada sobre tu contraseña ("zero knowledge") es "una mentira descarada". Según él, aunque la gente cree que su bóveda es una especie de base de datos cifrada en la que todo el fichero está protegido, en realidad la bóveda es un fichero de texto plano en el que solo algunos campos específicos están cifrados.

Otros problemas. Estos investigadores también critican la forma en la que LastPass refuerza la seguridad de esas contraseñas con un sistema iterativo que ahora requiere 100.000 de esas iteraciones, aunque las viejas cuentas usaban 5.000 o menos, lo que las hace más vulnerables a un posible ataque.

No solo eso: LastPass no cifra las URLs que la gente guarda en su gestor de contraseñas, lo que podría ayudar a los atacantes a centrarse en ciertos usuarios a la hora de intentar descifrar sus contraseñas maestras con ataques de phishing específicos.

Alternativas. Tanto Palant como Gosney recomiendan a la gente que considere cambiar a otro gestor de contraseñas, sobre todo tras ver cómo LastPass ha gestionado el problema y cómo no es la primera vez que esto ocurre. Como apuntan otros expertos, lo cierto es que a pesar de que la empresa no hace esa recomendación, cambiar la contraseña maestra y todas las contraseñas de nuestra bóveda (o al menos, las de los servicios más sensibles) no parece mala idea.

Hay otros servicios similares en la nube (BitWarden, 1Password), pero también existen alternativas que los usuarios pueden usar en sus propias máquinas o en nubes privadas, como KeePass o KeePassXC (local) o Vaultwarden, la implementación alternativa de Bitwarden.

Ver todos los comentarios en https://www.xataka.com

VER 27 Comentarios

Portada de Xataka