Los gestores de contraseñas no están exentos de problemas de ciberseguridad
El pasado mes de agosto, Lastpass, uno de los proveedores de administradores de contraseñas más populares actualmente, sufrió una violación de datos que expuso los datos de sus 33 millones de clientes. Una acción que genera terror, de solo pensarlo, pues ahí se incluían cuentas personales de correos electrónicos, bancos, tarjetas de crédito, ordenadores personales y un sinfín de información extremadamente sensible.
Hasta la fecha, se ha podido determinar que una vez que se obtuvieron la clave de acceso al almacenamiento en la nube y las claves de descifrado del contenedor de almacenamiento dual, el atacante adquirió información de la copia de seguridad que contenía información básica de la cuenta de los clientes y metadatos relacionados, incluidos los nombres de las empresas, de los usuarios finales, las direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio de LastPass.
Fuente: Lastpass
El responsable de las amenazas también pudo realizar una copia de seguridad de los datos de la nube del cliente desde el contenedor de almacenamiento encriptado que se almacena en un formato binario patentado, el cual contiene datos no encriptados, como las URL del sitio web, así como campos confidenciales completamente cifrados, como son los nombres de usuario del sitio web. y contraseñas, notas seguras y datos rellenados en formularios. La propia compañía realizó un comunicado el pasado 22 de diciembre para tratar de aclarar los hechos acaecidos: Declaración de prensa de LastPass.
Entonces, lo que esto significa esencialmente, les que os delincuentes cibernéticos pudieron acceder a todos los datos de los clientes. Si bien la mayor parte todavía está encriptada, los datos que no son los que resaltaron como URL siguen siendo datos bastante valiosos. Básicamente, muestra a los criminales informáticos todos los sitios web a los que accede con LastPass y, si los sitios web son lo suficientemente interesantes, pueden convertirlo en un objetivo directo.
Todos los usuarios de LastPass están en riesgo y guardan silencio
Por el momento, lo único que impide que los ciberatacantes descifren los datos de un cliente de LastPass es la contraseña maestra que se utiliza para generar la clave de cifrado para esa cuenta en particular. Esta contraseña maestra es la que utiliza para acceder a su cuenta de LastPass. Y si su contraseña es una de esas débiles, entonces corre el mayor riesgo de ser descubierta. LastPass también está manejando esto de una manera muy sombría. Su comunicado de prensa solo se publicó en su blog y citan que solo notificaron a menos del 3% de sus usuarios que resultan ser sus clientes comerciales a pesar de que el ataque afectó a todos sus clientes.
Así pues, tras decirles comunicar que los atacantes tienen toda la información y que la única forma de seguridad que queda es la contraseña maestra del usuario, han comunicado que si no les han contactado, deben estar tranquilos, cosa que no termina de tranquilizar mucho a alguien que ha sufrido dicho robo. Este es el peor consejo que pueden dar a sus clientes.
Es un marcado contraste con la forma en que Google manejó su antigua violación de datos , siendo hasta el día de hoy todavía aconsejable a todos los usuarios de Google Password Manager que actualicen las contraseñas de cualquier sitio web con una contraseña anterior a la violación de datos. ¿Por qué LastPass solo aconsejó a menos del 3 % de sus usuarios y lo mantuvo en secreto para el otro 97 % o más? La sensación es de que están tratando de salvar las apariencias al mantenerse callados y solo informar a los clientes que pueden hacer más ruido para ellos. es decir, mala prensa.
¿Cuál es la mejor manera de administrar todas mis contraseñas?
Hay muchas maneras de administrar las contraseñas. Ya hemos hablado en otros posts. No obstante, he aquí algunas recomendaciones.
Seguir usando LastPass
La mayoría de los usuarios de LastPass definitivamente se quedarán con él por un par de razones. Tal vez porque es una plataforma familiar y no quieren invertir tiempo y energía en aprender una nueva, o porque todavía tienen una suscripción activa que los mantiene como rehenes. En este caso, aún es una opción viable.
Estas personas aún pueden continuar usando LastPass, pero no pueden evitar la ardua tarea de actualizar cada contraseña en su LastPass, así como la contraseña maestra de su cuenta de LastPass a algo seguro y aleatorio con al menos 12 caracteres. Esto debe hacerse de inmediato siguiendo las recomendaciones y el lenguaje mnemotécnico.
Los piratas informáticos solo copiaron datos, por lo que si actualiza sus datos, cualquier cosa que hayan tomado serán datos antiguos que ya no funcionan para acceder/descifrar su información.
Usar un administrador de contraseñas diferente
Es posible que en realidad no necesite descargar o suscribirse a un administrador de contraseñas de terceros. La mayoría de las plataformas vienen con administradores de contraseñas integrados. Google viene con uno incorporado en los teléfonos inteligentes Android y el navegador Chrome en el ordenador. Todas las contraseñas se guardan en su cuenta de Gmail. En el ecosistema de Apple tienes la opción de iCloud como tu gestor de contraseñas y si deseas llevar este servicio a la nube también puedes activar iCloud Keychain, por poner un ejemplo.
Los dispositivos móviles como los teléfonos inteligentes también tienen administradores de contraseñas integrados para aplicaciones que almacenan contraseñas en el dispositivo o en la nube. En el mundo Android tienes la solución de Google que guarda las contraseñas de tu cuenta de Gmail. También hay una opción propia que guarda las contraseñas en una bóveda de contraseñas proporcionada por el fabricante del dispositivo. Un pequeño beneficio con estos métodos es que vienen con una capa de seguridad adicional de autenticación biométrica a través de huellas dactilares o reconocimiento facial 3D. Estos pueden ser un poco más seguros que las opciones de PC.
También puede utilizar administradores de contraseñas de terceros que compiten directamente con LastPass, como es el caso de 1Password o Passpack.
Configurar autenticación de 2 factores
Aunque ya hemos insistido, no nos cansaremos de repetirlo. La autenticación en 2 pasos, es una medida fundamental de seguridad, y muy sencilla de tomar. La autenticación de 2 factores requiere un paso de verificación adicional al iniciar sesión además de la combinación de nombre de usuario y contraseña. Las formas más comunes son un código enviado por SMS o llamada. Le da a cualquier potencial atacante una segunda barrera de entrada porque necesitarán tener acceso físico a su dispositivo para poder acceder a este código. Además, el código caduca después de unos minutos y, una vez que esto suceda, se requerirá uno nuevo.
Ya seas un administrador de contraseñas o no, debes activar la autenticación de 2 factores, especialmente en el correo electrónico que se usa para iniciar sesión en cuentas de redes sociales, cuentas bancarias, aplicaciones y otros sitios web importantes.
Fuente: Muy Computer
El mejor método de no ser hackeado es no estar en Internet. Por lo tanto, estos métodos no te mantendrán 100% a salvo de los ciberdelincuentes, sin embargo, definitivamente les resultará mucho más difícil tener éxito. Ya sabeis que cuanto más difícil se lo pongamos a los amigos de lo ajeno, mucho mejor.
