Cómo afecta a los usuarios la brecha de datos de LastPass

LastPass, uno de los gestores de contraseñas más utilizados, ha admitido en las últimas semanas que la brecha de seguridad que sufrió durante el verano ha afectado a datos de sus usuarios.

Esto significa que contraseñas de ciudadanos de a pie, las de sus correos electrónicos, sus bancos, sus monederos digitales, todo, han ido a parar a las manos de delincuentes. Aunque, en principio, cifradas.

El hecho ha desatado la alarma entre los usuarios de LastPass, y de otros que utilizan gestores de contraseñas similares.

En este punto, ¿qué hacemos? ¿Continuamos fiándonos de estas soluciones? ¿Es posible hacerlo de otro modo?

Cómo funciona un gestor de contraseñas

Un ciudadano medio emplea hoy en día varias decenas de contraseñas, tanto en su esfera personal como profesional.

Todas ellas deben ser diferentes y suficientemente largas, aleatorias y complejas.

De esta forma, una brecha de datos en un servicio sólo compromete la contraseña del usuario en ese servicio.

Y se hace difícil para un adversario averiguar la contraseña por fuerza bruta, usando diccionarios de contraseñas habituales o información personal sobre ese usuario (fecha de nacimiento, nombre de la mascota, etc.).

Esto hace imposible que se recuerden estas decenas de contraseñas, diferentes, largas, aleatorias y complejas. Por lo que, intuitivamente, la solución es “apuntarlas” en algún sitio.

La solución analógica es un cuaderno o libreta, pero el problema es que sus dueños tienen que protegerla muy bien, ya que si se pierde o alguien la roba, se verán comprometidas todas sus cuentas.

Y además la tienen que llevar siempre con ellos para poder acceder en el día a día a todas sus aplicaciones y servicios.

La solución tecnológica es el gestor de contraseñas, que nos permite “apuntar” las contraseñas en formato digital, en un almacén. ¿Dónde se guardan? Hay dos alternativas: en el propio dispositivo del usuario o en la nube.

Idealmente, cifradas de manera lo suficientemente robusta para que si el almacén de contraseñas se ve comprometido, no se puedan recuperar todas las contraseñas con facilidad.

Cada usuario podrá descifrar sus contraseñas cuando necesite utilizarlas mediante una contraseña o frase maestra de la que depende la seguridad del gestor.

Lo que sabemos de la brecha de LastPass

En el verano del 2022 LastPass, con más de 25 millones de usuarios, anunció que había sufrido una brecha de seguridad.

Los adversarios habían accedido al código de su solución y a otra propiedad intelectual, pero no a los almacenes de contraseñas de sus usuarios.

Sin embargo durante la navidad de ese 2022 admitieron que los atacantes habían podido acceder a datos personales de sus clientes y, lo que es peor, a las copias de seguridad de los almacenes de contraseñas de algunos de ellos.

En la notificación de la brecha no se proporciona el número de usuarios o de contraseñas afectadas, por lo que no podemos estimar el impacto real que ha tenido este incidente.

El cifrado: la frase maestra

El equipo de LastPass ha intentado tranquilizar a sus usuarios explicando que en estos almacenes la información crítica está cifrada con una clave que se obtiene a partir de la frase maestra de cada usuario.

Estas frases tienen que ser desde el 2018, obligatoriamente, de 12 caracteres como mínimo, romperlas por fuerza bruta (lo que implica probar todas las combinaciones posibles) sería muy costoso en tiempo y en recursos. Se calcula que costaría varios miles de años.

Pero si esta frase maestra se ve comprometida de otra manera, las contraseñas en los almacenes que se han visto afectados por la brecha se podrían descifrar.

Esto podría ocurrir, por ejemplo, si los atacantes tuvieran éxito empleando alguna técnica de ingeniería social, por ejemplo, de phishing.

O si el usuario estuviera usando la misma frase maestra en otro servicio que se hubiera visto afectado también por una brecha de datos.

Así que queda en manos de cada usuario afectado la decisión de modificar o no todas las contraseñas que estaban guardadas en el almacén de LastPass.

O al menos las de los servicios y aplicaciones más críticos en los que no haya configurado un segundo factor de autenticación (que haría que el compromiso de la contraseña no fuera tan crítico).

Todo depende de la confianza que tengan en su frase maestra y en que ésta no se haya visto comprometida.

Además, surge una incertidumbre adicional, ya que no toda la información en los almacenes de LastPass se guarda cifrada.

Esto significa que quien tenga acceso a ella podrá averiguar, por ejemplo, sin mayores esfuerzos, las URLs de las aplicaciones y servicios accedidos por cada usuario, e incluso otra información que pueda ayudar a realizar un perfilado de los usuarios afectados o a priorizar posteriores ataques.

Obviamente será más interesante invertir más tiempo y esfuerzos en recuperar las contraseñas de un presidente del gobierno o de una gran corporación que de un ciudadano medio.

Entonces ¿debemos usar un gestor o no?

A pesar del incidente que ha sufrido LastPass, y de que probablemente la gestión que han realizado de la crisis no haya sido la mejor posible desde el punto de vista de la comunicación y de la transparencia, el uso de gestores de contraseñas sigue siendo muy recomendable para todos los usuarios.

Junto con la activación de un segundo factor de autenticación, como mínimo, en las aplicaciones y servicios cuya seguridad sea crítica (correo principal, banco, etc.).

Simplemente, como en otros muchos casos, hay que informarse un poco antes de decidir cuál es la mejor alternativa para cada uno de nosotros.

En este momento hay muchas dudas acerca de que LastPass lo siga siendo para alguien porque han encadenado ya un número significativo de incidentes.

Es importante realizar una comparativa entre las diferentes opciones y valorar su precio, funcionalidad, flexibilidad y, obviamente, su seguridad, dado lo crítico que un incidente de estas características puede llegar a ser.

Gestor de contraseñas sí, pero no cualquiera, ni utilizado o configurado de cualquier manera. La seguridad de la frase maestra, por ejemplo, es crítica, y eso sí es nuestra responsabilidad.

Marta Beltrán, Profesor Titular de Universidad, Universidad Rey Juan Carlos

Este artículo fue publicado originalmente en The Conversation. Lea el original.

Cláusula de Divulgación:

Marta Beltrán no recibe salario, ni ejerce labores de consultoría, ni posee acciones, ni recibe financiación de ninguna compañía u organización que pueda obtener beneficio de este artículo, y ha declarado carecer de vínculos relevantes más allá del cargo académico citado.