LastPass ha sido hackeado. ¿Qué debemos hacer?

Escrito por Rubén Velasco
Seguridad

Para proteger una cuenta en Internet se suele recomendar utilizar una contraseña lo más compleja y larga posible. Por lo general estas contraseñas no pueden ser recordadas por las personas y por ello se suelen utilizar herramientas que ayuden a recordarlas. Una de las herramientas más utilizadas para la gestión de contraseñas es LastPass, un servicio que con sólo recordar una contraseña maestra podremos almacenar de forma “segura” todas nuestras contraseñas, pudiendo utilizar así claves complejas sin miedo a olvidarlas.

Aunque esto a simple vista tiene numerosas ventajas también debemos de asumir un riesgo, y es que si alguien consigue nuestra contraseña maestra todos nuestros datos se verán comprometidos. Y esto es lo que al final ha ocurrido.

Desde el blog oficial de LastPass los responsables del servicio han emitido un comunicado en el que afirman haber sido víctimas de un hackeo en el que se han comprometido las claves maestras de los usuarios, es decir, que los piratas informáticos que han atacado los servidores podrían llegar a acceder a cualquier contraseña de cualquier usuario.

Todo empezó cuando los responsables de seguridad detectaron cierta actividad sospechosa en sus servidores. Analizando dicha actividad han podido darse cuenta de que un grupo de piratas informáticos han conseguido acceder a información privada de sus usuarios como los correos, las pistas para recordar las contraseñas e incluso a los hashes de las cuentas de LastPass.

La empresa afirma que no se han filtrado las bases de datos cifradas con las claves y que el hecho de haber filtrado los hashes no compromete las cuentas de los usuarios ya que los hashes se blindan con un “salt” aleatorio y con 100.000 rondas de PBKDF2-SHA256 en el lado del servidor (más las rondas en el lado del cliente), lo que hace que sea prácticamente imposible descifrar un hash con un sistema informático actual, sin embargo para mayor seguridad recomiendan que todos los usuarios cambien sus contraseñas maestras para evitar posibles ataques dirigidos.

LastPass_foto

¿Qué alternativas a LastPass tenemos?

Almacenar todos estos datos en la nube siempre conlleva una serie de riesgos, como ha sido el caso de LastPass. Si queremos que algo sea totalmente privado y lo más seguro posible debemos gestionarlo de forma local, sin que termine en un servidor controlado por terceras personas.

Si somos del tipo de usuarios que preferimos recordar una contraseña maestra y con ella poder acceder a todas las demás debemos buscar una opción segura, privada y que sea de código abierto para asegurarnos que no tiene vulnerabilidades ni puertas traseras. Estamos hablando de KeePass.

KeePass es un administrador de contraseñas gratuito, libre, multiplataforma y privado. Con él vamos a poder crear una base de datos con todas nuestras contraseñas para poder tenerlas todas agrupadas en un único lugar. Si queremos que la base de datos esté sincronizada con todos los dispositivos Keepass ofrece una serie de extensiones con las que subir nuestra base de datos a la nube y descargarla desde allí al resto de dispositivos.

KeePass_foto_1

Como podemos ver, una alternativa muy similar a LastPass pero libre, gratuita y privada.

Por el contrario desde RedesZone recomendamos utilizar una contraseña compleja pero fácil de recordar y blindar nuestras cuentas con ciertas medidas de seguridad adicionales como la autenticación en 2 pasos, ya sea por SMS como por Google Authenticator. De esta manera nuestra contraseña sólo estará en nuestra cabeza y nadie sin ella ni sin nuestro smartphone podrá acceder a nuestras cuentas.

¿Eres usuario de LastPass, KeePass o de un servicio similar o prefieres almacenar las contraseñas sólo en la mente?

Quizá te interese:


Continúa leyendo
  • Pingback: ¿Usas LastPasS? Pues deberías cambiar tu contraseña maestra | mobilemakers.org()

  • Corsario

    Estoy usando una herramienta llamada LockCrypt su website es http://www.lockcrypt.com/ me parese muy Buena

  • seguro

    Lastpass es super seguro, no ha pasado nada de nada, lo que pasa que estas noticias son prensa amarillista la mayoria de veces.

    Es de lo mejor que hay, el mejor de todos con diferencia, si quieres estar tranquilo, activas la autentificacion en dos pasos con las tropecientas mil opciones que te dan y a correr, ya pueden hackear lo que les da la gana que con la autentificacion en dos pasos no tienen nada que hacer.

  • Angel

    Yo utilizo diferentes cuentas de correo para diferentes servicios: gmail,facebook,youtube,paypal, etc. Obviamente con distintos passwords. Prefero almacenarlos en notepad, sin escribir las claves completas, solo recordatorios de las claves, entonces la clave completa las llevo en la cabeza. Constantemente cambio los accesos criticos como facebook o paypal.
    Muchas veces he recibido correos falsos del banco, pero debido a la estrategia que uso, al ver la dirección de correo a la que me escriben, detecto facilmente cuando el correo es falso, practicamente uso una dirección de correo distinta para cada comunicacion que tengo; si por ejemplo registre la direccion de correo A con el banco y me escriben a la direccion de correo B, de inmediato lo detecto.
    Compartir mis claves con otros programas nunca me ha parecido seguro

  • Pingback: Los peores fallos de seguridad de este 2015()

  • Pingback: Almacena y sincroniza tus contraseñas en la nube de forma gratuita con SafeInCloud()

Últimos análisis

Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10