Mucho cuidado con los gestores de contraseñas

Añadir un comentario
Los gestores de contraseñas pueden resultar muy útiles para almacenar y mantener a salvo nuestros datos de inicio de sesión, ya que cada vez utilizamos más aplicaciones y servicios web, por lo que si usamos diferentes contraseñas el lío mental para recordar cada una de ellas puede ser un tormento. Pero, al igual que cualquier sistema informático, no son infalibles.

LastPass es un claro ejemplo de ello. La aplicación considerada como uno de los mejores gestores de contraseñas del mercadoha sufrido varios incidentes de seguridad, siendo el último de este año uno de los más graves. Un grupo de ciberdelincuentes anónimos consiguió hacerse con una copia de las bóvedas cifradas de contraseñas de sus clientes.

A pocos días de la Navidad, la compañía ha reconocido la brecha de seguridad en la que además de quedar expuestas las bóvedas de los clientes, también lo ha sido otra información relacionada y que no estaba cifrada. La gran pregunta que hay que hacerse es, ¿cómo se ha llegado a esta situación y cuáles son sus riesgos?

Los problemas para la aplicación comenzaron en agosto, cuando sus sistemas de seguridad se vieron vulnerados. La compañía anunció que una «parte no autorizada» había utilizado una cuenta de desarrollador para robar parte del código fuente de la aplicación, así como información técnica.

Según el informe del incidente, los datos de los usuarios no se habían visto afectados, pero los ciberdelincuentes usaron la información sustraída para señalar a otro empleado de LastPass. Este, tenía credenciales de acceso para el servicio de almacenamiento externo de LastPass.

El pasado mes de noviembre, los ciberdelincuentes usaron las credenciales robadas para acceder a los volúmenes de copia de seguridad que se encontraban alojados en servidores situados fuera del entorno de LastPass, haciendo copia de “ciertos elementos”. Esos elementos copiados eran:

  • Bóvedas cifradas con contraseñas
  • Nombres de empresas
  • Nombres de usuarios
  • Direcciones de facturación
  • Direcciones de correo electrónico
  • Números de teléfono
  • Direcciones IP de los clientes
  • URL de los sitios web relacionados los datos de las bóvedas

Vamos, que conseguir más información no era necesario, pues con la que tenían se podía hacer mucho daño. Toda esta información, aporta a los ciberdelincuentes información muy importante y confidencial para poder llevar a cabo delitos cibernéticos que hacen mucho daño.

Es importante tomar conciencia de que la verificación en dos pasos, también conocida como 2FA, es un recurso muy importante para poder evitar problemas de seguridad. Como recomendación, es mejor utilizar este tipo de aplicación de autenticación, antes que la recepción de códigos por SMS, debido a los riesgos que implica el SIM swapping.

Como ejemplo, en la imagen se puede observar de forma esquemática la facilidad de uso de la aplicación de autenticación en 2 pasos de Google Authenticator, por ejemplo.

Por lo tanto, teniendo en cuenta todo lo anterior, debemos ser muy conscientes de que los gestores de contraseñas como hemos podido comprobar, son aplicaciones que no están exentas de vulnerabilidades y que como en el caso de LastPass, una de las mejor valoradas en el mundo, cuando sufren un ataque nos generan un problema de dimensiones descomunales.

CONSEJO

Nunca he sido partidario de estas aplicaciones, que si bien pueden facilitarnos elegir contraseñas de lo más retorcidas y no tener que recordarlas ya que lo hace el gestor de contraseñas en nuestro nombre, estamos vendidos ya que no deja de ser software con una mayor o menor probabilidad de sufrir vulnerabilidades.

Por lo tanto, recomiendo a quien me lo pide el uso de aplicaciones de verificación en dos pasos (2FA), que una vez instaladas en nuestro dispositivo móvil y configuradas para cada cuenta de usuario que deseemos, antes de permitirnos el acceso tras loguearnos, nos van a solicitar el código generado y que tiene validez por unos segundos, por lo que una vez transcurrido ese tiempo, automáticamente vuelve a generar uno nuevo.

De esta forma, protegemos con una capa extra de seguridad el acceso a nuestras cuentas de usuario, ya se trate de cuentas de correo o acceso a las aplicaciones de redes sociales que solemos usar. En el caso de estas últimas, aún lo recomiendo con mayor motivo, ya que son muchas las personas que a diario ven como los ciberdelincuentes se apoderan de sus cuentas de Facebook o Instagram.

Deja una respuesta

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.