LastPass, uno de los gestores de contraseñas más utilizados, ha admitido que la brecha de seguridad que sufrió durante el verano afectó los datos de sus usuarios. Esto significa que contraseñas de ciudadanos, las de sus correos electrónicos, sus bancos, sus monederos digitales, todo, han ido a parar en las manos de delincuentes. Aunque, en principio, cifradas.
El hecho ha desatado la alarma entre los usuarios de LastPass, y de otros que utilizan gestores de contraseñas similares. En este punto, ¿qué hacemos? ¿Continuamos fiándonos de estas soluciones? ¿Es posible hacerlo de otro modo?
(También puede leer: Gestor de contraseñas: ¿cuáles son los mejores para usar este 2023?)
Un ciudadano medio emplea hoy en día varias contraseñas, tanto en su esfera personal como profesional. Todas ellas deben ser diferentes y suficientemente largas, aleatorias y complejas. De esta forma, una brecha de datos en un servicio solo comprometería a las credenciales del usuario en esa plataforma. Y se hace difícil para un adversario averiguar la contraseña por fuerza bruta, usando diccionarios de contraseñas habituales o información personal sobre ese usuario (fecha de nacimiento, nombre de la mascota, etc.).
Esto hace imposible que se recuerden estas decenas de contraseñas, diferentes, largas, aleatorias y complejas. Por lo que, intuitivamente, la solución es ‘apuntarlas’ en algún sitio.
La opción analógica es un cuaderno o libreta, pero el problema es que sus dueños tienen que protegerla muy bien. Además, la tendrían que llevar siempre con ellos para poder acceder a todas sus aplicaciones y servicios.
(Lea también: Ciberseguridad: gestores de contraseñas que mejoran seguridad de correos)
La solución tecnológica es el gestor de contraseñas, que nos permite ‘apuntar’ las credenciales en formato digital, en un almacén. ¿Dónde se guardan? Hay dos alternativas: en el propio dispositivo del usuario o en la nube. Idealmente, cifradas robustamente para que si el almacén de contraseñas se ve comprometido, no se puedan recuperar todas las contraseñas con facilidad. Cada usuario podrá descifrar sus contraseñas cuando necesite utilizarlas mediante una contraseña o frase maestra de la que depende la seguridad del gestor.
En el verano del 2022, LastPass, con más de 25 millones de usuarios, anunció que había sufrido una brecha de seguridad. Los adversarios habían accedido al código de su solución y a otra propiedad intelectual, pero no a los almacenes de contraseñas de sus usuarios.
Sin embargo, durante la Navidad de ese 2022, admitieron que los atacantes habían podido acceder a datos personales de sus clientes y, lo que es peor, a las copias de seguridad de los almacenes de contraseñas de algunos de ellos.
En la notificación de la brecha no se proporcionó el número total de usuarios o de contraseñas afectadas, por lo que no se puede estimar el impacto real.
El cifrado
El equipo de LastPass ha intentado tranquilizar a sus usuarios, explicando que en estos almacenes la información crítica está cifrada con una clave que se obtiene a partir de la frase maestra de cada usuario. Desde 2018, estas frases tienen que ser obligatoriamente de 12 caracteres como mínimo, pues romperlas por fuerza bruta (probar todas las combinaciones posibles) sería muy costoso en tiempo y en recursos. Se calcula que costaría varios miles de años.
Pero si esta frase maestra se ve comprometida de otra manera, las contraseñas en los almacenes que se han visto afectados por la brecha se podrían descifrar. Esto podría ocurrir, por ejemplo, si los atacantes tuvieran éxito empleando alguna técnica de ingeniería social, por ejemplo, de phishing. O si el usuario estuviera usando la misma frase maestra en otro servicio que se hubiera visto afectado por una brecha de datos.
Así que queda en manos de cada usuario afectado la decisión de modificar o no todas las contraseñas que estaban guardadas en el almacén de LastPass o al menos las de las aplicaciones más críticas en las que no haya configurado un segundo factor de autenticación (que haría que el compromiso de la contraseña no fuera tan grave). Todo depende de la confianza que tengan en su frase maestra y que esta no se haya visto comprometida.
(Siga leyendo: ¿Cómo cuidar la privacidad en línea? Estos son algunos trucos)
Además, surge una incertidumbre adicional, ya que no toda la información en los almacenes de LastPass se guarda cifrada. Esto significa que quien tenga acceso a ella podrá averiguar, por ejemplo, sin mayores esfuerzos, las URLs de las aplicaciones y servicios accedidos por cada usuario. Entonces ¿debemos usar un gestor o no?
A pesar del incidente que ha sufrido LastPass, y de que probablemente la gestión que han realizado de la crisis no haya sido la mejor posible desde el punto de vista de la comunicación y de la transparencia, el uso de gestores de contraseñas sigue siendo muy recomendable. Junto con la activación de un segundo factor de autenticación (mensaje de texto, aplicación o llamada), como mínimo, en las plataformas y servicios cuya seguridad sea crítica (correo principal, banco, etc.).
Simplemente, como en otros casos, hay que informarse un poco antes de decidir cuál es la mejor alternativa para cada uno de nosotros. En este momento hay muchas dudas acerca de que LastPass lo siga siendo para alguien porque han encadenado ya un número significativo de incidentes. Entonces, es importante realizar una comparativa entre las diferentes opciones, valorar su precio, funcionalidad, flexibilidad y, obviamente, su seguridad, dado lo crítico que un incidente de estas características puede llegar a ser.
Gestor de contraseñas sí, pero no cualquiera, ni utilizado o configurado de cualquier manera. La seguridad de la frase maestra, por ejemplo, es crítica, y eso sí es nuestra responsabilidad.
MARTA BELTRÁN (*)
THE CONVERSATION (**)
(*) Profesora titular de la Universidad Rey Juan Carlos.
(**) The Conversation es una organización sin ánimo de lucro que busca compartir ideas y conocimientos académicos con el público. Este artículo es reproducido aquí bajo licencia de Creative Commons.
Más noticias en EL TIEMPO
Microsoft OneDrive: estos son algunos usos que quizás desconocía
¿WhatsApp Plus es seguro? Todo lo que debe saber de esta aplicación no oficial¿Cómo descargar AnyDesk y manejar el computador de forma remota?
Fuente