Si utilizabas LastPass como gestor de contraseñas, debes saber que tus datos están en peligro. LastPass es un gestor de contraseñas que almacena en “bóvedas” los nombres de usuario y las credenciales. Este gestor de contraseñas sufrió un robo de datos en agosto.

Robo de datos de LastPass

El pasado mes de agosto, la empresa informó de un incidente en el que alguien había accedido al entorno de desarrollo sin afectar a la base de datos. Sin embargo, LastPass ha confirmado que el ciberdelincuente robó parte del código para acceder a la información almacenada en la nube. El ataque era mucho más grave de lo que habían dicho. Los datos robados incluyen la bóveda de contraseñas de los usuarios, aunque los atacantes no pueden acceder a los datos fácilmente porque las contraseñas están encriptadas.

El atacante se hizo con los datos encriptados de los usuarios como sus nombres, facturaciones, emails, direcciones IP y números de teléfono. Además, el ciberdelincuente hizo una copia de la copia de seguridad, la cual contiene información básica de los usuarios.

Aunque los datos están protegidos con cifrado “AES” de 256 bits, los atacantes pudieron acceder a datos no encriptados y confidenciales como los nombres de usuario del sitio web, contraseñas, notas seguras y formularios cumplimentados. Sin embargo, LastPass señala que no hay evidencias de que se haya accedido a ningún dato de tarjeta de crédito sin cifrar y comenta que su sistema no almacena números completos.

El CEO de LastPass, Karim Toubba, ha asegurado que prueban de forma rutinaria las últimas tecnologías de descifrado de contraseñas contra sus algoritmos, para así mejorar los controles criptográficos.

Además, Toubba ha alertado de que los ciberdelincuentes podrían utilizar el phishing para descifrar los datos robados a los que no pueden acceder por el sistema de protección.

Recomendaciones a los usuarios de LastPass

En primer lugar, al advertir del posible ataque de phishing para poder acceder a los datos robados, la empresa hace hincapié en que nunca se pondrá en contacto con sus clientes a través de llamadas telefónicas, correos electrónicos o mensajes de texto para verificar información personal a través de un enlace. De esta forma, evitan que los clientes caigan en los posibles ataques.

Por otro lado, se recomienda a los usuarios que cambien la contraseña maestra y las contraseñas de la bóveda.

Alternativas a LastPass

Es recomendable que los usuarios cambien a otro gestor de contraseñas. Existen otros servicios similares en la nube como BitWarden o 1Password, pero hay otras alternativas que los usuarios pueden utilizar en sus propias máquinas o en nubes privadas como KeePass o KeePassXC (local) o Vaultwarden (implementación alternativa de Bitwarden.