Skip to main content 
Mientras nos preparábamos para disfrutar las recientes fiestas, LastPass, el propietario de un popular programa para gestión de contraseñas nos envió el regalo de Navidad que menos hubiéramos deseado, al publicar detalles sobre el robo de datos en LastPass. Informando que ciberdelincuentes habrían obtenido copias de los archivos con las contraseñas de sus clientes, exponiendo la información de millones de personas.
Cuando usted utiliza un gestor de contraseñas, se supone que los usuarios y contraseñas de los sitios que usted utiliza, es decir, de sus cuentas bancarias, sus proveedores de salud, correos electrónicos y redes sociales, están en una "bóveda" en su nube*. Ahora, con el robo de datos en LastPass, los piratas informáticos podrían tener acceso a estos datos suyos.
Para el hacker, el robo de datos en LastPass equivale a ganarse la lotería, y lo que sucedió es una de las peores cosas que podían pasarle a un producto, que se supone debe proteger sus contraseñas. Además, no es la primera vez que hay robo de datos en LastPass, sino que este es el último de una serie de incidentes de seguridad de LastPass que vienen desde 2011, y aunque dijeron que estos problemas se habían solucionado, este caso es aún más alarmante.
¿Qué Hacemos Ahora ante el Robo de Datos en LastPass?
Hay algo obvio, si usted usa LastPass, y es cambiar todas sus contraseñas. Sus datos podrían estar en manos de delincuentes, y aunque los datos más sensibles estén encriptados, ellos podrían usar "fuerza bruta" para llegar a sus datos. Algunos expertos incluso recomiendan dejar LastPass.
También es importante aprender lecciones de esta debacle, entre ellas que estos productos de seguridad no son infalibles. Según indica Derek Abella, en The New York Times: “El hackeo del gestor de contraseñas LastPass debería hacernos replantearnos si [debemos] confiar en que las empresas almacenen nuestros datos sensibles en la nube.”
¿Qué Dice LastPass sobre lo que Ocurrió?
Lo que LastPass informa es que unos intrusos accedieron a sus datos utilizando credenciales* y claves que robaron a un empleado suyo. Tras publicar el pasado 22 de diciembre detalles de lo ocurrido, trataron de tranquilizar a sus usuarios, asegurándoles que su información estaba probablemente a salvo. Indicaron que aunque parte de las “bóvedas” estaban sin cifrar, los datos sensibles como usuarios y contraseñas, estaban cifrados. Esto sugeriría a los preocupados usuarios que los piratas podrían conocer el sitio que utilizaban, pero no el usuario y la contraseña para acceder a estas cuentas.
Karim Toubba, CEO de LastPass, afirmó en un comunicado que el incidente demostraba la solidez de la arquitectura de su sistema. También dijo que era responsabilidad de los usuarios "practicar una buena higiene de contraseñas."
Muchos expertos no estuvieron de acuerdo con el optimismo de Toubba y opinaron que los usuarios de LastPass deberían cambiar todas sus contraseñas. Según Sinan Eren, ejecutivo de Barracuda, una firma de seguridad. "Creo que es muy grave. Yo consideraría que todas esas contraseñas gestionadas están comprometidas". Casey Ellis, director de tecnología de la firma de seguridad Bugcrowd, coincide con esta apreciación. Declaró: “Ellos conocen los sitios donde usted ha guardado información y pueden usarla para planear un ataque. Ahora tiene un adversario que tiene sus datos en sus manos."
¿Cuáles son las Recomendaciones Futuras ante el Robo de Datos en LastPass?
Aunque al parecer no hay una forma infalible de garantizar que sus datos de usuario y contraseña estén absolutamente seguros*, hay algunas medidas que puede tomar para protegerse del robo de identidad:
Más vale prevenir que curar:
Es más fácil proteger las cuentas antes de una filtración que hacerlo después. Estas son algunas de las mejores prácticas que todos deberíamos seguir:
- • Cree, para cada cuenta, una contraseña compleja y diferente, que sea larga y difícil de adivinar. Puede, por ejemplo, usar una frase que recuerde fácilmente. Si la frase es: "Mi nombre es Pedro Pérez. Has matado a mi padre. Prepárate a morir", puede convertir esta frase en una contraseña usando las iniciales de cada palabra. En este caso: "MnePP.Hmamp.Pam."
- • También puede crear una contraseña alfanumérica. Por ejemplo, C001D00DC0DEF11E, y periódicamente “rotar” parte de ella. La próxima contraseña sería: 001D00DC0DEF11EC.
- • Para las cuentas más sensibles, añada una seguridad extra con autenticación de dos factores, con un código temporal, además de su usuario y contraseña. Muchos bancos le permiten configurar su celular o correo para recibir este código temporal, o puede usar aplicaciones como Google Authenticator o Authy para generar estos códigos temporales.
Recuerde, no es culpa suya:
Aunque la respuesta inicial de LastPass pareciera indicar que de alguna manera sus usuarios son responsables por no practicar una "buena higiene de contraseñas," eso no exime a esta empresa de su responsabilidad.
De todas formas, existen riesgos en la nube y que habría que sopesar la comodidad de tener las contraseñas en un solo sitio frente al riesgo. Así que, aunque hay expertos que condenan a los gestores de contraseñas, y a LastPass en particular, otros recomiendan usar algún gestor.
Alternativas a LastPass a considerar
En cualquier caso, si usted tiene sus contraseñas en LastPass y quiere cambiar de gestor, las opciones que recomiendan los expertos son Bitwarden, que se considera bastante segura, o también 1Password. También recomiendan iCloud Keychain, o Dropbox. Eren de Barracuda, recomienda no usar gestores que almacenen la base de datos en su nube, sino uno que almacene su bóveda de contraseñas en sus propios dispositivos, como KeePass.
¿Qué Puede Usted Hacer en este Momento ante el Robo de Datos en LastPass?
Es preocupante el robo de datos en LastPass. Es una de las situaciones que se vienen presentando cada día más en nuestras comunidades.
Ahora, si requiere más información sobre el robo de datos en LastPass u otro caso similar, desea consultar cómo proceder en estos casos*, o si desea presentar un reclamo y no sabe cómo hacerlo, puede contar con nuestro equipo de abogados. Dentro de varias especializaciones de fraude, el robo de datos también hace parte de las injusticias que una persona puede sufrir.
Contacte a nuestros centros de servicios, los cuales están disponibles 24/7 y contamos con agentes que hablan su idioma. En Morgan & Morgan creemos que todas las personas deben tener el derecho una representación legal con la mejor experiencia y listos para luchar hasta el final por sus derechos. Es por eso que nuestros servicios los ofrecemos en bases de contingencia. Usted no tiene que pagar para retener nuestros servicios. Es más, usted solo paga si ganamos su caso.
*Enlaces disponibles en inglés.
Robo de Datos en AT&T afecta a más de 73 Millones de Usuarios. ¿Eres uno de ellos?
Mantente protegido esta temporada de impuestos
Cómo influyen las redes sociales en tu demanda por lesiones personales
Aumentan fatalidades en vías de tren en Florida
Robo de Datos en American Express: Advertencias a sus usuarios
Peligros principales de conducir en primavera y como mantenerte a salvo
Accidentes de mujeres en construcción – Los riesgos en esta industria