Los administradores de contraseñas pueden ayudar a que tu vida sea más fácil introduciendo automáticamente contraseñas únicas para cada website que visites. Es una herramienta conveniente, sin duda; hasta que es hackeada. En este caso, los ciberdelincuentes pueden recibir acceso a información muy valiosa con solo hackear tan solo una contraseña – incluso, una asociada a tus datos bancarios.
LastPass es un administrador de contraseñas popular y recientemente dio a conocer una fuga en la web. Los atacantes pusieron en aprietos direcciones de correo electrónico, recordatorios de contraseña, per-user salts (datos agregados a contraseñas para hacer más difíciles de violentar) y hashes de autenticación. Las contraseñas en sí no están en peligro, ya que el servicio cuenta con almacenamiento en la nube. Sin embargo, LastPass recomienda a los usuarios a cambiar sus contraseñas maestras y permitir la autenticación de múltiples factores.
Demos créditos a la empresa: cuando LastPass encontró la fuga, rápidamente dio a una advertencia pública. Para el beneficio de los hackers, muchas empresas grandes trataron de mantener los cracks en secreto, pero este no fue el caso.
Al mismo tiempo, ocurrieron consecuencias algo dudosas. EL CEO y fundador de LastPass Joe Siegrist afirma que el incidente no tendrá impacto en “la gran mayoría de los usuarios“. Algunos investigadores se suman a esta posición, declarando que no existe riesgo para usuarios con contraseñas fuertes.
We've updated the blog with follow-up information to user questions about yesterday's announcement: https://t.co/DaW6LiIp7M
— LastPass (@LastPass) June 16, 2015
Otros investigadores, sin embargo, consideran que los ataques podrían dar lugar a una nueva ola de actividades maliciosas dirigidas directamente a los usuarios de LastPass. Los hackers, al tener la lista de correo electrónico real, pueden crear una campaña de phishing dirigida a vulnerar a quienes carecen de datos. LastPass, por su parte, está conminando a los usuarios a cambiar sus contraseñas maestras.
Pero ¿qué impide que los cibercriminales hacer spamming a los usuarios de LastPass a partir de correos disfrazados de los oficiales/legítimos? Cuando la gente recibe un correo electrónico normal, no sospechoso, con advertencias y recomendaciones de los “desarrolladores”, podrían seguir fácilmente un enlace para cambiar su contraseña maestra – y dejar el camino libre a los criminales cibernéticos para hacer sus fechorías.
Los usuarios de #LastPass deben cambiar sus #contraseñas con urgencia
Tweet
A continuación, nuestros consejos para los usuarios de LastPass:
1) Sigue las recomendaciones oficiales: no cambies la contraseña maestra y habilita la autenticación de múltiples factores. Sería estupendo si lo hicieras en otros sitios web; por ejemplo, en las redes sociales y correos electrónicos.
2) No hagas clic en enlaces insertos en correos electrónicos que digan que son de LastPass. Podrían ser falsos, con lo cual es mucho mejor entrar en la URL manualmente en la barra de direcciones de tu navegador.
3) Asegúrate de no usar la contraseña maestra en cualquier otro sitio web. Siempre es bueno utilizar diferentes contraseñas para diferentes servicios.
Esta no es la primera vez que LastPass lidia con problemas de seguridad. En el verano pasado, la Universidad de California de Berkeley reveló fallas de seguridad en cinco administradores de seguridad, incluyendo LastPass. Los otros cuatro eran RoboForm, My1Login, PasswordBox y NeedMyPassword.
Data breaches have become a routine. You can’t prevent it, but there is a way to minimize the damage. http://t.co/Gq4ERG41NK
— Kaspersky (@kaspersky) August 6, 2014
Como ustedes saben, no hay una solución de seguridad perfecta. Una empresa debe armarse de coraje para asumir la responsabilidad y revelar el incidente de filtración ocurrido, a pesar de que ello suponga perder clientes. A raíz de lo sucedido, algunos de los usuarios LastPass podrían desear cambiar a otros servicios, mientras que otros seguirían usándolo sin problema.
Si estás pensando en un nuevo administrador de contraseñas, no podemos dejar de recomendarte el que nosotros conocemos (y bien): Kaspersky Password Manager. No guardamos contraseñas de los usuarios, con lo cual los datos son imposibles de hurtar de nuestros servidores.
Pero podrías ir por más. Instala Kaspersky Total Security Multidispositivos que incorpora un gestor de contraseñas, así como todos los elementos de seguridad necesarios para proteger tus dispositivos y datos de cualquier malware.
Traducido por: M. De Benedetto