Mientras muchos de nosotros nos estábamos desconectando de internet para pasar tiempo con nuestros seres queridos durante las fiestas decembrinas, LastPass, la compañía creadora de un popular programa de seguridad para administrar contraseñas digitales, entregó el regalo menos deseado. Publicó detalles sobre un incidente de seguridad reciente en el cual ciberdelincuentes obtuvieron copias de las bóvedas de contraseñas de los clientes, lo que potencialmente deja expuesta en línea la información de millones de personas.
Desde la perspectiva de un pirata informático, esto es como sacarse el premio mayor de la lotería.
Cuando usas un gestor de contraseñas como LastPass o 1Password, este almacena una lista que contiene todos los nombres de usuario y contraseñas de los sitios web y las aplicaciones que utilizas, incluidos los de bancos, servicios de salud, correo electrónico y cuentas de redes sociales. Lleva el registro de esa lista, llamada la bóveda, en su nube en línea para que tengas acceso fácil a tus contraseñas desde cualquier dispositivo. LastPass dio a conocer que unos hackers robaron copias de la lista de nombres de usuario y contraseñas de todos los clientes en los servidores de la compañía.
Esta infiltración fue una de las peores cosas que le pueden ocurrir a un producto de seguridad diseñado para proteger tus contraseñas. Sin embargo, además de la medida obvia a tomar (cambiar todas tus contraseñas si usaste LastPass), hay lecciones importantes que podemos aprender de esta catástrofe, incluyendo que los productos de seguridad no son a prueba de fallas, en especial cuando almacenan nuestros datos delicados en la nube.
Primero, es importante entender qué pasó: la compañía afirma que intrusos lograron acceso a su base de datos en la nube y obtuvieron una copia de las bóvedas de decenas de millones de clientes al usar credenciales y claves robadas a un empleado de LastPass.
LastPass, que publicó detalles sobre el incidente en un blog el 22 de diciembre, intentó tranquilizar a sus usuarios asegurándoles que su información probablemente estaba segura. Señaló que algunas partes de las bóvedas de los usuarios (como las direcciones de los sitios web en los que iniciaban sesión) no estaban cifradas, pero que los datos delicados, incluyendo los nombres de usuarios y las contraseñas, estaban cifrados. Esto indicaría que los piratas informáticos podrían saber el sitio de banca que alguien usó, pero no tener el nombre de usuario y la contraseña requeridos para ingresar a la cuenta de esa persona.
Lo más importante, las contraseñas maestras que los usuarios crearon para desbloquear sus bóvedas de LastPass también estaban cifradas. Eso significa que los hackers tendrían que descifrar las contraseñas maestras cifradas para acceder al resto de las contraseñas en cada bóveda, lo cual sería difícil de hacer, si las personas utilizaron una contraseña maestra única y compleja.
Karim Toubba, director ejecutivo de LastPass, no quiso ser entrevistado, pero escribió en una declaración enviada por correo electrónico que el incidente demostró la fortaleza de la arquitectura del sistema de la compañía, que aseguró mantuvo datos sensibles de la bóveda cifrados y seguros. También aseveró que era responsabilidad de los usuarios “practicar buenos hábitos de contraseñas”.
Muchos expertos en seguridad no estuvieron de acuerdo con el giro optimista que Toubba le dio al incidente y opinaron que todos los usuarios de LastPass deberían cambiar todas sus contraseñas.
“Es muy grave”, dijo Sinan Eren, un ejecutivo en Barracuda, una firma de seguridad. “Yo consideraría todas esas contraseñas administradas como comprometidas”.
Casey Ellis, el director de tecnología de la firma de seguridad Bugcrowd, expresó que era significativo que los intrusos tuvieran acceso a las listas de las direcciones de los sitios web que las personas usaban.
Ellis explicó: “Digamos que tú eres mi objetivo. Puedo ver todos los sitios web de los que has guardado información y usar eso para planear un ataque. Los datos de todos los usuarios de LastPass están ahora en manos de un adversario”.
A continuación, las lecciones que podemos aprender de esta brecha de seguridad para estar más seguros en línea.
Más vale prevenir que lamentar
El incidente de seguridad de LastPass es un recordatorio de que es más sencillo crear salvaguardas para nuestras cuentas más sensibles antes de que ocurra una violación de seguridad que intentar protegernos a posteriori. A continuación, algunas de las mejores prácticas que todos debemos seguir con nuestras contraseñas; cualquier usuario de LastPass que dio estos pasos antes de tiempo habría estado relativamente seguro durante este incidente reciente.
-
Crea una contraseña compleja y única para cada cuenta. Una contraseña fuerte debería ser larga y difícil de adivinar. Por ejemplo, emplea estas frases: “Me llamo Íñigo Montoya. Tú mataste a mi padre. Prepárate para morir”. Y conviértelas en esto, al usar la inicial de cada palabra y un punto de exclamación para las íes: “Ml!m.Tmamp.Ppm”.
Para aquellos que usan un administrador de contraseñas, esta regla de oro es de vital importancia para la contraseña maestra que da acceso a tu bóveda. Nunca reutilices esta contraseña en ninguna otra aplicación o sitio web.
-
Para tus cuentas más importantes, agrega una capa adicional de seguridad con la autenticación de dos factores. Para esta configuración hay que generar un código temporal que debe ser ingresado, además de tu nombre de usuario y contraseña, antes de que puedas iniciar sesión en tus cuentas.
La mayoría de los sitios de los bancos te dejan configurar tu número celular o dirección de correo electrónico para recibir un mensaje que contenga un código temporal para conectarse. Algunas aplicaciones, como Twitter e Instagram, te permiten usar las llamadas aplicaciones de autenticación como Autenticador de Google y Authy para generar códigos temporales.
Pero recuerda que no es culpa tuya
Aclaremos una cosa importante: siempre que los servidores de cualquier empresa sufren una filtración y se roban los datos de los clientes, es culpa de la empresa por no protegerte.
La respuesta pública de LastPass al incidente hace recaer la responsabilidad en el usuario, pero no tenemos por qué aceptarlo. Aunque es cierto que practicar “buenas prácticas de contraseñas” habría ayudado a mantener una cuenta más segura en caso de brecha, eso no exime a la empresa de su responsabilidad.
Usar la nube tiene riesgos
Aunque el incidente de seguridad de LastPass puede parecer que condena al servicio, los gestores de contraseñas en general son una herramienta útil porque hacen más conveniente generar y almacenar contraseñas únicas y complejas para nuestras numerosas cuentas de internet.
La seguridad en internet a menudo involucra sopesar conveniencia contra riesgo. Ellis, de Bugcrowd, manifestó que el reto con la seguridad de las contraseñas era que cuando las mejores prácticas eran demasiado complicadas, la gente se iba por lo que fuera más simple (por ejemplo, usar contraseñas fáciles de adivinar y repetirlas en varios sitios).
Así que no descartes los gestores de contraseñas. Pero recuerda que la brecha de LastPass demuestra que siempre estás tomando un riesgo cuando le confías a una compañía que almacene tus datos delicados en su nube, a pesar de lo conveniente que es tener tu bóveda de contraseñas accesible desde cualquiera de tus dispositivos.
Eren, de Barracuda, recomendó no emplear administradores de contraseñas que almacenen la base de datos en su nube sino, más bien, elegir uno que guarde tu bóveda de contraseñas en tus propios dispositivos, como KeePass.
Ten una estrategia de salida
Esto nos lleva a mi último consejo, que puede aplicar para cualquier servicio en línea: siempre ten un plan para retirarte con tus datos (en este caso, tu bóveda de contraseñas) en caso de que algo suceda que te haga desear salirte.
Para LastPass, la compañía muestra en su sitio web los pasos para exportar una copia de tu bóveda a una hoja de cálculo. Después, puedes importar esa lista de contraseñas a otro gestor de contraseñas. O puedes conservar el archivo de la hoja de cálculo solo para ti, almacenado en algún lugar seguro y conveniente para tu uso.
Yo adopto un enfoque híbrido. Uso un gestor de contraseñas que no almacena mis datos en su nube. En su lugar, guardo mi propia copia de mi bóveda en mi computadora y en una unidad en la nube que yo mismo controlo. Podrías hacerlo utilizando un servicio en la nube como iCloud o Dropbox. Esos métodos tampoco son infalibles, pero tienen menos probabilidades que la base de datos de una empresa de ser objetivo de los hackers.