Los datos personales y las bóvedas de contraseñas que contienen las credenciales de inicio de sesión de millones de usuarios están ahora en manos de delincuentes. Si alguna vez usó el administrador de contraseñas, LastPass, debe cambiar todas sus contraseñas para todo, ahora. Y debe tomar inmediatamente más medidas para protegerse.
¿Qué sucedió en la filtración de datos de LastPass de 2022?
LastPass es un servicio de administración de contraseñas que opera en un modelo "freemium". Los usuarios pueden almacenar todas sus contraseñas e inicios de sesión para los servicios en línea con LastPass y acceder a ellos a través de la interfaz web, a través de complementos del navegador y a través de aplicaciones dedicadas para teléfonos inteligentes.
Las contraseñas se almacenan en "bóvedas", que están protegidas por una sola contraseña maestra.
En agosto de 2022, LastPass anunció que los delincuentes habían utilizado una cuenta de desarrollador comprometida para acceder al entorno de desarrollo, el código fuente y la información técnica de LastPass.
Se publicaron más detalles en noviembre de 2022, cuando LastPass agregó que se habían revelado algunos datos de clientes.
La verdadera gravedad de la infracción se reveló el 22 de diciembre, cuando un Publicación de blog de LastPass señaló que los delincuentes habían utilizado parte de la información obtenida en el ataque anterior para robar datos de copia de seguridad incluidos los nombres de los clientes, direcciones y números de teléfono, direcciones de correo electrónico, direcciones IP y tarjeta de crédito parcial números. Además, lograron robar bóvedas de contraseñas de usuarios que contenían direcciones URL y nombres de sitios web sin cifrar, así como nombres de usuario y contraseñas cifradas.
¿Es difícil para los delincuentes descifrar su contraseña maestra de LastPass?
Teóricamente, sí, los piratas informáticos deberían tener dificultades para descifrar su contraseña maestra. La publicación del blog de LastPass señala que si usa la configuración recomendada predeterminada, "llevaría millones de años adivinar su contraseña maestra usando la tecnología de descifrado de contraseñas generalmente disponible".
LastPass requiere que la contraseña maestra tenga un mínimo de 12 caracteres y recomienda "que nunca reutilice su contraseña maestra en otros sitios web".
Sin embargo, LastPass es único entre los servicios de gestión de contraseñas, ya que permite a los usuarios establecer una pista de contraseña para recordarles su contraseña maestra en caso de que la pierdan.
Efectivamente, esto alienta a los usuarios a usar palabras y frases del diccionario como parte de su contraseña, en lugar de una contraseña segura verdaderamente aleatoria. Ninguna sugerencia de contraseña ayudará si su contraseña es "lVoT=.N]4CmU".
Las bóvedas de contraseñas de LastPass han estado en manos de delincuentes desde hace algún tiempo y, aunque están encriptadas, eventualmente ser objeto de ataques de fuerza bruta.
Los atacantes encontrarán su trabajo más fácil gracias a la existencia de bases de datos masivas de contraseñas de uso común. Puede descargar una lista de contraseñas de 17 GB que comprende los 613 millones de contraseñas más comunes de hanibeenpwned, por ejemplo. Otras listas de contraseñas y credenciales están disponibles en la dark web.
Probar cada uno de los 500 millones de claves más comunes en una bóveda individual llevaría minutos y, aunque relativamente pocos serían los 12 caracteres requeridos, es probable que los ciberdelincuentes puedan entrar fácilmente en una buena proporción de bóvedas
Agregue a eso el hecho de que el poder de cómputo aumenta año tras año y que los delincuentes motivados pueden usar redes distribuidas para ayudar con el esfuerzo; "millones de años" no parece factible para la mayoría de las cuentas.
¿La filtración de LastPass solo afecta a las contraseñas?
Si bien la noticia principal es que los delincuentes pueden tomarse su tiempo para ingresar a su bóveda de LastPass, pueden aprovechar de usted de otras maneras mediante el uso de su nombre, dirección, número de teléfono, dirección de correo electrónico, dirección IP y tarjeta de crédito parcial número.
Estos pueden ser utilizados para una serie de propósitos nefastos, incluyendo ataques de spearphishing contra usted y sus contactos, robo de identidad, obtención de créditos y préstamos a su nombre y ataques de intercambio de SIM.
¿Cómo puede protegerse después de las filtraciones de datos de LastPass?
Debe suponer que dentro de unos años, su contraseña maestra se verá comprometida y los delincuentes conocerán todas las contraseñas que contiene. Debe cambiarlas ahora y usar contraseñas únicas que nunca haya usado antes y que no estén en ninguna de las listas de contraseñas de uso común.
Con respecto a los otros delincuentes de datos obtenidos de LastPass, deberías congelar tu créditoy contrate un servicio de control de crédito para controlar cualquier nueva tarjeta o solicitud de préstamo a su nombre. Si puede cambiar su número de teléfono sin demasiados inconvenientes, también debe hacerlo.
Asuma la responsabilidad de su propia seguridad
Es fácil culpar a LastPass por las violaciones de datos que hicieron que sus bóvedas de contraseñas y sus datos personales cayeran en manos de delincuentes. pero los servicios de administración de contraseñas que aseguran su vida y lo ayudan a generar combos únicos siguen siendo la mejor manera de proteger su vida en línea. vida.
Una forma de dificultar que los posibles ladrones obtengan sus datos vitales es alojar un administrador de contraseñas en su propio hardware. Es económico, fácil de hacer y algunas soluciones, como VaultWarden, incluso se pueden implementar en una Raspberry Pi Zero.
