Un incidente de seguridad en LastPass deja lecciones sobre contraseñas para todos nosotros

El hackeo del gestor de contraseñas LastPass nos debería hacer reevaluar si debemos confiar en compañías para que almacenen nuestros datos importantes en la nube. (Derek Abella/The New York Times)
El hackeo del gestor de contraseñas LastPass nos debería hacer reevaluar si debemos confiar en compañías para que almacenen nuestros datos importantes en la nube. (Derek Abella/The New York Times)

Mientras muchos de nosotros nos estábamos desconectando de internet para pasar tiempo con nuestros seres queridos durante las fiestas decembrinas, LastPass, la compañía creadora de un programa de seguridad popular para administrar contraseñas digitales, entregó el regalo menos deseado. Publicó detalles sobre un incidente de seguridad reciente en el cual ciberdelincuentes obtuvieron copias de las bóvedas de contraseñas de los clientes, lo que potencialmente deja expuesta en línea la información de millones de personas.

Desde la perspectiva de un hacker, esto es como sacarse el premio mayor.

Cuando usas un gestor de contraseñas como LastPass o 1Password, este almacena una lista que contiene todos los nombres de usuario y contraseñas de los sitios web y las aplicaciones que utilizas, incluidos los de banca, atención sanitaria, correo electrónico y cuentas de redes sociales. Lleva el registro de esa lista, llamada la bóveda, en su nube en línea para que tengas acceso fácil a tus contraseñas desde cualquier dispositivo. LastPass dio a conocer que hackers robaron copias de la lista de nombres de usuario y contraseñas de todos los clientes en los servidores de la compañía.

Esta infiltración fue una de las peores cosas que le pueden ocurrir a un producto de seguridad diseñado para proteger tus contraseñas. Sin embargo, además de la medida obvia a tomar (cambiar todas tus contraseñas si usaste LastPass), hay lecciones importantes de las que podemos aprender de esta catástrofe, incluyendo que los productos de seguridad no son a prueba de fallas, en especial cuando almacenan nuestros datos delicados en la nube.

Primero, es importante entender qué pasó: la compañía afirma que intrusos lograron acceso a su base de datos en la nube y obtuvieron una copia de las bóvedas de decenas de millones de clientes al usar credenciales y claves robadas a un empleado de LastPass.

LastPass, que publicó detalles sobre el incidente en una publicación de blog el 22 de diciembre, intentó tranquilizar a sus usuarios acerca de que su información probablemente estaba segura. Señaló que algunas partes de las bóvedas de las personas (como las direcciones de los sitios web en los que iniciaban sesión) no estaban cifradas, pero que los datos delicados, incluyendo los nombres de usuarios y las contraseñas, estaban cifrados. Esto indicaría que los hackers podrían saber el sitio de banca que alguien usó, pero no tener el nombre de usuario y la contraseña requeridos para ingresar a la cuenta de esa persona.

Lo más importante, las contraseñas maestras que los usuarios crearon para desbloquear sus bóvedas de LastPass también estaban cifradas. Eso significa que los hackers tendrían que descifrar las contraseñas maestras cifradas para acceder al resto de las contraseñas en cada bóveda, lo cual sería difícil de hacer, si las personas utilizaron una contraseña maestra única y compleja.

Karim Toubba, director ejecutivo de LastPass, no quiso ser entrevistado, pero escribió en una declaración enviada por correo electrónico que el incidente demostró la fortaleza de la arquitectura del sistema de la compañía, que aseguró mantuvo datos sensibles de la bóveda cifrados y seguros. También aseveró que era responsabilidad de los usuarios “practicar una buena higiene de contraseñas”.

Muchos expertos en seguridad no estuvieron de acuerdo con el giro optimista que Toubba le dio al incidente y opinaron que todos los usuarios de LastPass deberían cambiar todas sus contraseñas.

Sinan Eren, un ejecutivo en Barracuda, una firma de seguridad, mencionó: “Es muy grave. Yo consideraría todas esas contraseñas administradas como comprometidas”.

Casey Ellis, el director de tecnología de la firma de seguridad Bugcrowd, expresó que era significativo que los intrusos tuvieran acceso a las listas de las direcciones de los sitios web que las personas usaban.

Ellis explicó: “Digamos que tú eres mi objetivo. Puedo ver todos los sitios web de los que has guardado información y usar eso para planear un ataque. Los datos de todos los usuarios de LastPass están ahora en manos de un adversario”.

A continuación, las lecciones que podemos aprender de esta brecha de seguridad para estar más seguros en línea.

La prevención es mejor que el tratamiento.

La brecha de LastPass es un recordatorio de que es más sencillo crear salvaguardas para nuestras cuentas más sensibles antes de queocurra una violación de seguridad que intentar protegernos a posteriori. A continuación, algunas de las mejores prácticas que todos debemos seguir con nuestras contraseñas; cualquier usuario de LastPass que dio estos pasos antes de tiempo habría estado relativamente seguro durante este incidente reciente.

Crea una contraseña compleja y única para cada cuenta. Una contraseña fuerte debería ser larga y difícil de adivinar. Por ejemplo, emplea estas frases: “Me llamo Íñigo Montoya. Tú mataste a mi padre. Prepárate para morir”. Y conviértelas en esto, al usar la inicial de cada palabra y un punto de exclamación para las íes: “Ml!m.Tmamp.Ppm”.

Para aquellos que usan un administrador de contraseñas, esta regla de oro es de vital importancia para la contraseña maestra que da acceso a tu bóveda. Nunca reutilices esta contraseña en ninguna otra aplicación o sitio web.

Para tus cuentas más importantes, agrega una capa adicional de seguridad con la autenticación de dos factores. Para esta configuración hay que generar un código temporal que debe ser ingresado, además de tu nombre de usuario y contraseña, antes de que puedas iniciar sesión en tus cuentas.

La mayoría de los sitios de los bancos te dejan configurar tu número celular o dirección de correo electrónico para recibir un mensaje que contenga un código temporal para conectarse. Algunas aplicaciones, como Twitter e Instagram, te permiten usar las llamadas aplicaciones autenticadoras como Autenticador de Google y Authy para generar códigos temporales.

Hay riesgos en usar la nube.

Aunque la brecha de LastPass puede parecer que condena al servicio, los gestores de contraseñas en general son una herramienta útil porque hacen más conveniente generar y almacenar contraseñas únicas y complejas para nuestras numerosas cuentas de internet.

La seguridad en internet a menudo involucra sopesar conveniencia contra riesgo. Ellis de Bugcrowd manifestó que el reto con la seguridad de las contraseñas era que cuando las mejores prácticas eran demasiado complicadas, la gente se iba por lo que fuera más siemple (por ejemplo, usar contraseñas fáciles de adivinar y repetirlas en varios sitios).

Así que no descartes los gestores de contraseñas. Pero recuerda que la brecha de LastPass demuestra que siempre estás tomando un riesgo cuando le confías a una compañía que almacene tus datos delicados en su nube, a pesar de lo conveniente que es tener tu bóveda de contraseñas accesible desde cualquiera de tus dispositivos.

Eren de Barracuda recomendó no usar administradores de contraseñas que almacenen la base de datos en su nube sino, más bien, elegir uno que guarde tu bóveda de contraseñas en tus propios dispositivos, como KeePass.

Ten una estrategia de salida.

Esto nos lleva a mi último consejo, que puede aplicar para cualquier servicio en línea: siempre ten un plan para retirarte con tus datos (en este caso, tu bóveda de contraseñas) en caso de que algo suceda que te haga desear salirte.

Para LastPass, la compañía muestra en su sitio web los pasos para exportar una copia de tu bóveda a una hoja de cálculo. Después, puedes importar esa lista de contraseñas a otro gestor de contraseñas. O puedes conservar el archivo de la hoja de cálculo solo para ti, almacenado en algún lugar seguro y conveniente para tu uso.

© 2023 The New York Times Company