LastPass ha sido hackeado. ¿Qué debemos hacer?
Una de las herramientas más utilizadas para la gestión de contraseñas es LastPass, un servicio que con sólo recordar una contraseña maestra podremos almacenar de forma “segura” todas nuestras contraseñas, pudiendo utilizar así claves complejas sin miedo a olvidarlas.
Aunque esto a simple vista tiene numerosas ventajas también debemos de asumir un riesgo, y es que si alguien consigue nuestra contraseña maestra todos nuestros datos se verán comprometidos. Y esto es lo que al final ha ocurrido.
Desde el blog oficial de LastPass los responsables del servicio han emitido un comunicado en el que afirman haber sido víctimas de un hackeo en el que se han comprometido las claves maestras de los usuarios, es decir, que los piratas informáticos que han atacado los servidores podrían llegar a acceder a cualquier contraseña de cualquier usuario.
Todo empezó cuando los responsables de seguridad detectaron cierta actividad sospechosa en sus servidores. Analizando dicha actividad han podido darse cuenta de que un grupo de piratas informáticos han conseguido acceder a información privada de sus usuarios como los correos, las pistas para recordar las contraseñas e incluso a los hashes de las cuentas de LastPass.
La empresa afirma que no se han filtrado las bases de datos cifradas con las claves y que el hecho de haber filtrado los hashes no compromete las cuentas de los usuarios ya que los hashes se blindan con un “salt” aleatorio y con 100.000 rondas de PBKDF2-SHA256 en el lado del servidor (más las rondas en el lado del cliente), lo que hace que sea prácticamente imposible descifrar un hash con un sistema informático actual, sin embargo para mayor seguridad recomiendan que todos los usuarios cambien sus contraseñas maestras para evitar posibles ataques dirigidos.
¿QUÉ ALTERNATIVAS A LASTPASS TENEMOS?
Almacenar todos estos datos en la nube siempre conlleva una serie de riesgos, como ha sido el caso de LastPass. Si queremos que algo sea totalmente privado y lo más seguro posible debemos gestionarlo de forma local, sin que termine en un servidor controlado por terceras personas.
Si somos del tipo de usuarios que preferimos recordar una contraseña maestra y con ella poder acceder a todas las demás debemos buscar una opción segura, privada y que sea de código abierto para asegurarnos que no tiene vulnerabilidades ni puertas traseras. Estamos hablando de KeePass.
KeePass es un administrador de contraseñas gratuito, libre, multiplataforma y privado. Con él vamos a poder crear una base de datos con todas nuestras contraseñas para poder tenerlas todas agrupadas en un único lugar. Si queremos que la base de datos esté sincronizada con todos los dispositivos Keepass ofrece una serie de extensiones con las que subir nuestra base de datos a la nube y descargarla desde allí al resto de dispositivos.
Por el contrario se recomienda utilizar una contraseña compleja pero fácil de recordar y blindar nuestras cuentas con ciertas medidas de seguridad adicionales como la autenticación en 2 pasos, ya sea por SMS como por Google Authenticator. De esta manera nuestra contraseña sólo estará en nuestra cabeza y nadie sin ella ni sin nuestro smartphone podrá acceder a nuestras cuentas.