La brecha de seguridad de LastPass: cómo protegerse

Lo que necesita saber y hacer sobre la infracción de LastPass

Si es usuario de LastPass, como muchos de nosotros en la comunidad de WordPress, es posible que esté buscando una solución alternativa de administración de contraseñas hoy. Después de una brecha de seguridad masiva en LastPass, la compañía no reveló de manera oportuna, lo que ha puesto potencialmente en riesgo sus datos, debe considerar cambiar a Bitwarden o 1Password. Aún mejor, comience a usar claves de acceso cuando sea posible: hacen que los inicios de sesión sin contraseña sean la solución de seguridad definitiva. Finalmente, si es responsable de la seguridad de los datos de los demás o si tiene una función de comunicación, puede aprender de los errores de LastPass, principalmente lo que no debe hacer. Echemos un vistazo a lo que sucedió, lo que debería haber sucedido y cómo debe proteger sus cuentas en línea de manera proactiva.

Cavar un hoyo más profundo no lo sacará

En agosto de 2022, el CEO de LastPass, Karim Toubba, publicó la primera de lo que se convertiría en una serie de divulgaciones públicas cada vez más serias sobre una brecha de seguridad profunda y continua. La divulgación inicial decía que "una parte no autorizada" accedió parcialmente al entorno de desarrollo de los ingenieros de LastPass al explotar "una sola cuenta de desarrollador comprometida". El intruso robó un código fuente e "información técnica patentada de LastPass". Sin embargo, Toubba dijo que no hubo impacto en la plataforma de administración de contraseñas de LastPass ni en sus clientes. Inequívocamente, aseguró a los clientes de LastPass que sus contraseñas maestras, datos e información personal estaban seguros. Nuestra información crítica de la cuenta estaba totalmente segura, sin ser tocada por intrusos.

Desafortunadamente, esto no era cierto en absoluto.

Lo que realmente sucedió en LastPass

A partir de finales de noviembre, Toubba realizó varias actualizaciones más a la divulgación de LastPass que Zack Whittaker de TechCrunch analizó amablemente para mostrar lo que LastPass no estaba explicando. LastPass finalmente dejó en claro que el atacante robó algunos datos de los clientes en una segunda violación habilitada por la "información obtenida" en la violación anterior. Primero, el atacante apuntó a un desarrollador de LastPass y luego a otro para penetrar más profundamente en los sistemas de LastPass, incluido el almacenamiento en la nube de la empresa matriz de LastPass, GoTo. (GoTo también posee LogMeIn y GoToMyPC).

En un movimiento inquietante, GoTo ocultó su propia divulgación de los motores de búsqueda.

Luego, justo antes de Navidad, Toubba actualizó nuevamente la divulgación de incumplimiento de LastPass. Confirmó que los atacantes robaron una copia de seguridad de las bóvedas de contraseñas cifradas de los clientes de LastPass. Toubba también reconoció que cualquier persona con la instantánea podría usar métodos de fuerza bruta para descifrar las bóvedas de contraseñas cifradas de los clientes. En la infracción se incluyeron los nombres de los clientes de LastPass, los nombres de sus empresas y direcciones de correo electrónico, sus números de teléfono y direcciones IP, URL, notas, datos de formularios y cierta información de facturación.

Esto es más que malo.

El impacto de la mala comunicación de crisis de LastPass

LastPass no ha revelado datos clave como cuántas cuentas de usuario hay en los datos robados. En consecuencia, debemos asumir que los más de 25 millones de usuarios de LastPass (a partir de noviembre de 2022) están en riesgo debido a estas brechas de seguridad. Además, incluso los antiguos clientes pueden estar en riesgo ahora si los archivos de copia de seguridad robados contienen sus datos personales y de bóveda de contraseñas anteriores.

He usado LastPass durante muchos años para acceder a las contraseñas de otras personas que comparten conmigo por motivos de trabajo. Si bien no he pagado para usar el servicio yo mismo, tuve que mantener una cuenta con LastPass por este motivo. Recibí las notificaciones de brechas de seguridad de LastPass por correo electrónico como otros clientes, y me preocupé de inmediato. Me di cuenta de que el tema surgió para la discusión en Post Status Slack, un popular foro comunitario para profesionales de WordPress. Robert Rowley, promotor de desarrolladores de Patchstack, compartió la noticia allí. Señaló: “No se filtraron contraseñas maestras ni contraseñas almacenadas. No se necesita ninguna acción”. Al igual que millones de otros usuarios de Patchstack, todos confiamos en lo que la empresa nos había dicho y estábamos equivocados.

Más tarde, otros en Patchstack y en la comunidad de WordPress compartieron noticias de que GoTo suprimió su propia divulgación de incumplimiento. En diciembre, Rowley volvió a comentar, observando cuán lejos habían llegado las cosas de la declaración inicial que todos creíamos. "No se accedió a las bóvedas de los clientes". Al comparar la serie de revelaciones contradictorias con recibir un puñetazo, Rowley observó: "Esto puede verse como una combinación de pérdida de confianza de izquierda a derecha, cada actualización empeora el incidente".

Lo que debería haber sucedido en LastPass

En la comunidad de código abierto, valoramos la transparencia hasta el extremo. Especialmente en lo que se refiere a la seguridad, tratamos de mantener y proteger una cultura de divulgación responsable. Si descubrimos vulnerabilidades en productos de software de código abierto, notificamos discretamente a sus propietarios y mantenedores. Esperamos que alerten a sus usuarios de inmediato y hagan una divulgación completa tan pronto como hayan parcheado cualquier código explotable. Esperamos que eso suceda muy rápidamente, como una prioridad máxima. De esta manera, los miembros de la comunidad de código abierto intentan ayudarse mutuamente a resolver problemas que afectan a todos en lugar de encubrirlos, lo que sucede con frecuencia con el software propietario.

Una ética similar se aplica cuando individuos maliciosos roban información de identificación personal (PII) de alto valor. Si bien las leyes de notificación de brechas de seguridad varían en diferentes estados y países, todas requieren la divulgación oportuna a las personas afectadas. No es una simple cortesía, es una obligación legal y ética.

En seguridad, la confianza lo es todo

Todas las brechas de seguridad pueden dañar la confianza. Todas son malas situaciones que solo pueden empeorar cuando se profundizan por la demora. La divulgación de información incorrecta e incompleta puede ser catastrófica para una empresa y una marca, como hemos visto con LastPass.

¿Por qué alguien debería confiar en una empresa que exhibe un comportamiento tan irresponsable, egoísta e inevitablemente autodestructivo cuando ha fallado gravemente a sus clientes? La comunicación honesta, directa y clara que se enfoca en mitigar el daño a los clientes es la única forma posible de mejorar las cosas.

En última instancia, la confianza no es una tecnología o un concepto técnico. Se trata de las relaciones humanas. La confianza depende de cómo trates a las personas, especialmente a aquellas que han depositado su confianza en ti. No siempre cumplimos nuestras promesas y el fracaso siempre es posible. La única forma de avanzar que podría renovar la confianza cuando sucede lo peor es admitir lo que sucedió y exponerlo todo con honestidad.

¿Cómo deben responder los usuarios de LastPass a la brecha de seguridad?

Dada la forma en que LastPass ha revelado esta infracción, las medidas de seguridad adicionales en LastPass para proteger su bóveda de contraseñas no ayudarán. Es hora de comenzar primero, migrar a un nuevo administrador de contraseñas como 1Password, Bitwarden o NordPass, y segundo y más importante, comenzar a cambiar las contraseñas en sitios y aplicaciones críticos cuyas credenciales almacenó en su bóveda de LastPass. Agregar autenticación de dos factores a esos sitios sería un movimiento muy inteligente si aún no lo ha hecho.

Si su bóveda no estaba protegida por una contraseña maestra segura, todas sus cuentas en línea eventualmente se verán comprometidas. Incluso si tuviera una contraseña maestra segura, aún podría ser descifrada por la fuerza bruta.

No se trata de si sus datos se descifrarán, se trata de cuándo . Dado que esta violación ocurrió cinco meses antes de que LastPass revelara que las bóvedas de los clientes se vieron afectadas, los atacantes maliciosos ya tienen una ventaja. Como tal, es fundamental comenzar a proteger las credenciales de cualquier cuenta que almacenó en LastPass.

Por eso, lo siguiente y más importante que debes hacer es comenzar a cambiar todas las contraseñas de todas las cuentas que tienes almacenadas en LastPass. Priorice primero los más vitales, como las cuentas financieras, las cuentas de administración del sitio y otros cuya pérdida podría costarle muy caro.

Es hora de dejar LastPass

Finalmente, le recomendamos que cierre su cuenta de LastPass y cambie a otro servicio como Bitwarden o 1Password. Bitwarden tiene una herramienta de migración para importar los registros de su cuenta de LastPass. 1Password también.

Es hora de dejar LastPass. Si tiene los fondos para gastar en 1Password, es una alternativa más sólida a muchos de los otros administradores de contraseñas disponibles. Su configuración de seguridad también se basa en una clave secreta para proteger las bóvedas. 1Password ha sido la elección de muchos profesionales de la seguridad y tiene excelentes sistemas para compartir el acceso a la bóveda para equipos que requieren acceso a numerosas cuentas.

Otra alternativa es Bitwarden. Una herramienta de código abierto, el código fuente de Bitwarden está disponible para su revisión en Github, donde los investigadores de seguridad lo auditan con frecuencia. La cuenta paga es de solo $ 10 por año, lo que facilita el apoyo al proyecto para las personas con un presupuesto limitado. También puede alojar su bóveda de Bitwarden por su cuenta si así lo desea.

Una oportunidad para repensar sus propias prácticas de seguridad

Incluso si no es un cliente, la violación de LastPass es una buena oportunidad para pensar en sus propias políticas de seguridad. Una característica importante de los administradores de contraseñas como LastPass es la capacidad de compartir el acceso a cuentas en línea con otras personas. Las limitaciones de muchos servicios en línea y las necesidades del lugar de trabajo nos impulsan a compartir el acceso a la cuenta como una conveniencia. Sin embargo, compartir cuentas es, por regla general, una práctica de seguridad muy mala. ¡No le dé acceso a más de una persona a cuentas de redes sociales de un solo usuario como Twitter! Utilice una aplicación de administrador de redes sociales multiusuario en su lugar. Luego, puede permitir que cualquier número de personas envíe tweets sin correr el riesgo de perder su cuenta principal. Y cuando esas personas se vayan o cambien de rol, la gestión de sus privilegios de acceso será mucho más sencilla.

Cualquier persona a la que le haya dado acceso a las contraseñas compartidas en una aplicación como LastPass puede conservar esas contraseñas para siempre. Pueden escribirlos. Pueden guardarlos en el administrador de contraseñas de su navegador para mayor comodidad. Las personas van y vienen en cada equipo y organización. La práctica de seguridad adecuada requiere que elimine las cuentas no utilizadas y cambie las contraseñas sin demora. ¿Practicas esto? ¿Qué tan bien lo haces? ¿Lo has hecho lo más fácil y claro posible? ¿Ha delegado esta responsabilidad crucial a una persona específica? ¿Quién verifica y audita los privilegios de acceso de su equipo? ¿Con qué frecuencia lo hacen?

Piense en sus propios escenarios del peor de los casos. ¿Cómo manejaría la comunicación sobre una infracción que expuso los datos de sus clientes? ¿Cómo se puede volver a trabajar en una estrategia de prevención proactiva para que esto nunca suceda?

Ningún negocio es demasiado pequeño para ignorar estas responsabilidades cruciales. ¿Qué puede hacer hoy para reducir el riesgo de una brecha catastrófica mañana?

¡Claves de paso para la victoria! El futuro de la seguridad digital

Este evento pone de relieve los problemas con las contraseñas. Los administradores de contraseñas intentan admitir contraseñas más complejas y la autenticación de dos factores ha intentado proporcionar otra capa de seguridad. Sin embargo, según el informe de seguridad de datos de Verizon, menos del 30 % de los usuarios utilizan 2FA. Las contraseñas están realmente rotas. Las claves de acceso son la solución para avanzar.

Una clave de acceso es un tipo de método de autenticación que implica el uso de un dispositivo físico, como un llavero o una tarjeta inteligente, para verificar la identidad de un usuario. También se puede usar una computadora o un teléfono con métodos de inicio de sesión biométricos cada vez más comunes para autenticar su identidad en un sitio web. Las claves de paso se consideran más seguras que otros métodos de autenticación, como las contraseñas, porque proporcionan una capa adicional de seguridad.

Si su computadora es un dispositivo conocido y confiable con una clave de acceso para su cuenta bancaria (o sitio de WordPress si usa iThemes Security Pro), puede omitir los inicios de sesión tradicionales del sitio. Es suficiente que el sitio web reconozca su dispositivo y posiblemente solicite una huella digital a través de Touch ID en dispositivos Apple o Windows Hello para Microsoft.

La verdadera paz mental no tiene contraseña

Una ventaja de las claves de paso es que no se pueden adivinar ni descifrar fácilmente como se puede hacer con una contraseña. Las contraseñas pueden ser vulnerables a los ataques de diccionario, donde un pirata informático prueba una lista de contraseñas comunes para intentar obtener acceso a una cuenta. Las claves de acceso, por otro lado, suelen ser únicas y no se pueden replicar fácilmente, lo que las hace mucho más difíciles de comprometer.

Además, las claves de acceso se pueden usar junto con otros métodos de autenticación, como una contraseña de dispositivo o autenticación biométrica, para proporcionar un nivel de seguridad aún mayor. Esto se conoce como autenticación multifactor y puede aumentar en gran medida la dificultad para que un pirata informático obtenga acceso a una cuenta.

Las claves de acceso pronto pueden hacer que los administradores de contraseñas como LastPass sean innecesarios. Eso hará que la web sea más segura, ya que las brechas de seguridad de grandes plataformas como la que experimentó LastPass pueden convertirse en una cosa del pasado. Si ejecuta un sitio de WordPress o WooCommerce, puede brindarse a usted y a sus usuarios la alta seguridad y la comodidad inigualable de los inicios de sesión sin contraseña con la función de clave de acceso de iThemes Pro.

El estado de los administradores de contraseñas en 2023

Un curso de capacitación en línea interactivo en vivo
10 de enero de 2023 a las 13:00 (Centro)

En este seminario web, analizaremos la reciente brecha de seguridad de LastPass y lo que podemos aprender sobre esto al proteger nuestras vidas digitales (incluidos nuestros sitios de WordPress), y también evaluaremos el estado actual de las contraseñas, los administradores de contraseñas, la autenticación de dos factores y más para que podamos pasar a 2023 seguros.

También hablaremos sobre la solución para dejar atrás las contraseñas con claves de acceso y el estado de implementación de WebAuthn tanto por parte de los gigantes tecnológicos como de iThemes Security.

¡Registrate gratis!

dan knauss

Dan Knauss es el generalista de contenido técnico de StellarWP. Ha sido escritor, profesor y autónomo trabajando en código abierto desde finales de la década de 1990 y con WordPress desde 2004.