Si guardas tus contraseñas en LastPass tenemos malas noticias: las han robado

A principios de este mes os contamos que LastPass, uno de los servicios más populares para guardar contraseñas en la nube de forma segura había sido víctima de un segundo ataque informático a gran escala contra su infraestructura en lo que va de año. Aunque inicialmente se dijo que los datos de los usuarios no se habían visto comprometidos, y mucho menos las contraseñas, un análisis exhaustivo del ataque informático y su alcance está revelando todo lo contrario: los piratas informáticos sí que han conseguido acceder a los datos privados de los usuarios.
El primer ataque informático tuvo lugar en agosto de 2022, aunque su alcance fue muy limitado, y solo se consiguieron algunos archivos internos (código fuente, entre otras cosas) de estos servidores. O, al menos, eso se pensaba. A finales de noviembre, los servidores de LastPass se vieron comprometidos de nuevo en un ataque mucho mayor, el cual se pudo llevar a cabo gracias a información interna que se obtuvo durante el primer ataque (alguna vulnerabilidad descubierta en el código, certificados, etc).
El ataque del pasado mes de noviembre fue mucho mayor y más complicado de detectar. Eso sí, en una primera instancia se reveló que los datos de los usuarios no se habían visto comprometidos de ninguna manera, por lo que no había nada de qué preocuparse. Hoy, la empresa cambia su versión, y sí, el ataque ha sido mucho más grave de lo que se pensaba inicialmente.
Los datos de los usuarios están en peligro
En una nueva publicación en el blog de LastPass, a compañía asegura que ha detectado pruebas de que el atacante, o los atacantes, que llevaron a cabo este ataque informático consiguieron descargar una copia de toda la bóveda del cliente. En esta copia de seguridad se pueden encontrar tanto datos cifrados como datos sin cifrar. Entre los datos sin cifrar que se han encontrado podemos destacar, por ejemplo, las URLs guardadas, nombres de empresas, direcciones de facturación, números de teléfono o direcciones IP, entre otras cosas. Y, entre los datos cifrados, se encuentran nombres de usuarios y contraseñas guardadas en este servicio.
Los datos cifrados, en teoría, están protegidos de forma segura, ya que cuentan con un cifrado AES de 256 bits. LastPass no almacenaba la contraseña maestra, por lo que los atacantes no pueden conseguirla y usarla para descifrar los datos. Pero sí que pueden forzarla (en caso de que los usuarios utilizaran contraseñas seguras) o usar la fuerza bruta para encontrarla, peligroso si las víctimas tenían la costumbre de reutilizar contraseñas.
Los únicos datos que no se han visto comprometidos son los de las tarjetas de pago, puesto que no se guardaban completos en LastPass.
Qué puedo hacer ahora
Desde luego, los piratas informáticos han encontrado un verdadero tesoro. No solo por la gran cantidad de datos personales que se encuentran sin cifrar y que ya están en su poder, sino por las contraseñas robustas, fiables, y seguro que funcionales que también están en su poder, aunque estarán cifradas. Ahora, el objetivo de los piratas informáticos es encontrar la forma de romper el cifrado AES de 256 bits y conseguir acceso ilimitado a todas estas contraseñas para, seguramente, venderlas en la red. Lo fácil, o difícil, que sea esto solo depende de la contraseña que haya usado el usuario.
Si éramos usuarios de LastPass hace unos meses, seguramente nuestros datos estén ya en manos de los piratas informáticos. Y, aunque ya no podemos hacer nada por ellos, lo que sí podemos hacer es cambiar la contraseña maestra usada en el servicio, cambiar todas las contraseñas de todos los sitios que tuviéramos guardados en esta plataforma y, además, prestar mucha atención a los correos, mensajes y comunicaciones que nos puedan llegar, ya que los datos sin cifrar pueden ser usados para phishing.