Desde el blog oficial
de LastPass los responsables del servicio han emitido un comunicado en el que
afirman haber sido víctimas de un hackeo en el que se han comprometido las
claves maestras de los usuarios, es decir, que los piratas informáticos que han
atacado los servidores podrían llegar a acceder a cualquier contraseña de
cualquier usuario.
LastPass es una de las herramientas más utilizadas para la gestión de contraseñas es, un servicio que con sólo recordar una contraseña maestra podremos almacenar de forma “segura” todas nuestras contraseñas, pudiendo utilizar así claves complejas sin miedo a olvidarlas. Aunque esto a simple vista tiene numerosas ventajas también debemos de asumir un riesgo, y es que si alguien consigue nuestra contraseña maestra todos nuestros datos se verán comprometidos. Y esto es lo que al final ha ocurrido.
Intahistoria del ataque
- Todo
empezó cuando los responsables de seguridad detectaron cierta actividad
sospechosa en sus servidores. Analizando dicha actividad han podido darse
cuenta de que un grupo de piratas informáticos han conseguido acceder a
información privada de sus usuarios como los correos, las pistas para
recordar las contraseñas e incluso a los hashes de las cuentas de
LastPass.
- La
empresa afirma que no se han filtrado las bases de datos cifradas con las
claves y que el hecho de haber filtrado los hashes no compromete las
cuentas de los usuarios ya que los hashes se blindan con un “salt”
aleatorio y con 100.000 rondas de PBKDF2-SHA256 en el lado del servidor
(más las rondas en el lado del cliente), lo que hace que sea prácticamente
imposible descifrar un hash con un sistema informático actual, sin embargo
para mayor seguridad recomiendan que todos los usuarios cambien sus
contraseñas maestras para evitar posibles ataques dirigidos.
¿Qué alternativas a LastPass tenemos?
- Almacenar
todos estos datos en la nube siempre conlleva una serie de riesgos, como
ha sido el caso de LastPass. Si queremos que algo sea totalmente privado y
lo más seguro posible debemos gestionarlo de forma local, sin que termine
en un servidor controlado por terceras personas.
- Si
somos del tipo de usuarios que preferimos recordar una contraseña maestra
y con ella poder acceder a todas las demás debemos buscar una opción
segura, privada y que sea de código abierto para asegurarnos que no tiene
vulnerabilidades ni puertas traseras. Estamos hablando de KeePass.
- KeePass
es un administrador de contraseñas gratuito, libre, multiplataforma y
privado. Con él vamos a poder crear una base de datos con todas nuestras
contraseñas para poder tenerlas todas agrupadas en un único lugar. Si
queremos que la base de datos esté sincronizada con todos los dispositivos
Keepass ofrece una serie de extensiones con las que subir nuestra base de
datos a la nube y descargarla desde allí al resto de dispositivos.
- Como
podemos ver, una alternativa muy similar a LastPass pero libre, gratuita y
privada.