Los responsables de LastPass, como recogen los compañeros de RedesZone, han publicado un comunicado en el que este servicio de «llavero» de contraseñas, muy utilizado por otra parte, admite que han sido víctimas de un ataque que ha comprometido sus bases de datos y aunque no se han robado las contraseñas de los usuarios que lo utilizaban, recomiendan cambiar las que usan para no tener que acordarse de sus datos para acceder a numerosos servicios usando únicamente la clave maestra que les ofrecía esta aplicación.
Cada hay más y más servicios en los que nos registramos y la memoria no da para acordarse de cada una de las contraseñas que ponemos (dado que en muchas ocasiones los requerimientos son diferentes para cada uno y nos hacen usar claves diferentes). Al calor de esta necesidad nacían hace ya bastante tiempo servicios como LastPass, uno de los más utilizados, donde podíamos reunir todas nuestras contraseñas bajo una única clave maestra para todas.
Lo cierto es que nunca ha habido algún problema con esto, hasta ahora, cuando los propios responsables de este servicio han publicado un comunicado en el que pese a sus sistemas de seguridad, han sufrido un ataque hacker que ha puesto en compromiso las contraseñas maestras de las cuentas de los usuarios. Tras detectar cierta actividad sospechosa en sus servidores, se dieron cuenta como los atacantes han podido entrar en la información privada de los usuarios pudiendo recoger cosas como los correos, las pistas para recordar las contraseñas e incluso los hashes de las cuentas de LastPass.
Lo bueno, y por lo que no hay que echarse las manos a la cabeza, es que no se ha conseguido robar nada de las bases de datos cifradas con las claves y, en teoría, los hashes no comprometen las cuentas de los usuarios ya que están blindados con un “salt” aleatorio y con 100.000 rondas de PBKDF2-SHA256 en el lado del servidor (más las rondas en el lado del cliente). Esto, para quien todo este lenguaje técnico no le diga nada, se traduce en un sistema de cifrado de altísima seguridad que, al menos esta vez, ha mostrado ser eficiente.
Es prácticamente imposible que con un hash se consiga descifrar la información, si es que tuvieran alguna en su poder, pero desde LastPass se recomienda a todos sus usuarios que cambien sus contraseñas maestras para evitar ser víctimas de una posible segunda fase del ataque que vaya dirigida a sus cuentas.
En el caso de que hayamos perdido la confianza que teníamos en LastPass, desde RedesZone nos invitan a pasarnos a servicios más seguros y privados, que podemos controlar de forma local con aplicaciones como KeePass. Este administrador de contraseñas gratuito, libre, multiplataforma y privado nos permite tener agrupadas todas las contraseñas en un único lugar y sincronizadas sin tener que confiar en servidores de otros. Tenéis toda la información para configurarlo en los tutoriales de nuestros compañeros.