LastPass es totalmente inseguro, y lo demostrarán en la próxima Black Hat Europe 2015
Los gestores y administradores de contraseñas han ganado un gran éxito en los últimos meses. Muchos usuarios tienen la equívoca idea de que utilizar una contraseña larga, compleja y complicada de recordar garantizará que piratas informáticos o usuarios no autorizados no acceden a sus cuentas y plataformas a través de Internet. Como es muy complicado recordar contraseñas complejas, estos usuarios suelen utilizar aplicaciones y servicios de terceros como LastPass para almacenar en una base de datos todos los credenciales de todas las webs y plataformas en las que está registrado.
No es la primera vez que se compromete la seguridad de LastPass, la plataforma más utilizada para almacenar y gestionar las contraseñas, y tampoco será la última. Del próximo 10 al 13 de noviembre tendrá lugar la convención Black Hat, una serie de conferencias sobre seguridad informática que reúne a una gran variedad de personas interesadas en la seguridad de la información.
Desde el portal oficial de Black Hat Briefings podemos ver una lista con todas las conferencias que van a tener lugar en dicha convención. Una de las que más nos ha llamado la atención está enfocada a este gestor de contraseñas, concretamente a demostrar cómo es posible acceder a todas las entradas de la base de datos sin demasiada dificultad.
En esta conferencia, Alberto García y Martín Vigo van a mostrar varias formas de robar y descibrar una base de datos completa de LastPass. En primer lugar, van a demostrar cómo es posible utilizar la función de recuperar cuenta para conseguir incluso la clave de cifrado con la que acceder a todos los datos almacenados en la base de datos de esta plataforma. También mostrarán cómo es posible evadir la doble autenticación que permite configurar esta plataforma.
Para agilizar el proceso mostrarán también como han creado un metaexploit capaz de buscar una base de datos de LastPass en un ordenador y aprovechar las debilidades para acceder a toda la información almacenada en ella. Sin duda, un peligro considerable dado que LastPass no sólo almacena los nombres de usuario y las contraseñas de diferentes plataformas web, sino que también guarda en su base de datos otro tipo de información como cuentas bancarias, tarjetas de crédito, claves ssh, registros personales, etc.
Como proteger nuestras cuentas online de ataques informáticos sin LastPass
Obviamente no debemos utilizar contraseñas obvias o sencillas ya que serán las primeras que probarán los piratas informáticos al intentar acceder a nuestras cuentas, sin embargo, utilizar una clave alfanumérica de 16 caracteres aleatorios es algo exagerado. La mejor forma de proteger una cuenta es utilizar una contraseña, fácil de recordar para nosotros pero que a la vez no guarde ninguna relación que permita que, si los piratas nos conocen, pueden adivinarla (nombre, fecha, dirección, etc).
Otro sistema, imprescindible, para proteger las cuentas de accesos no autorizados es hacer uso de los sistemas de doble autenticación seguros como Google Authenticator. Gracias a estos sistemas siempre que vayamos a iniciar sesión con un usuario y una contraseña en una plataforma tendremos que introducir también un código aleatorio que recibiremos en ese momento en el móvil de forma privada, siendo imposible iniciar sesión sin él.
También debemos evitar iniciar sesión en redes públicas o inseguras, ya que, si lo hacemos y alguien está capturando el tráfico, da igual utilizar una clave 1234 que una de 24 caracteres aleatorios, se la estaremos regalando directamente al pirata informático.
Como podemos ver, hay muchas formas de proteger nuestras cuentas online sin depender de herramientas como LastPass que, en varias ocasiones, han demostrado ser inseguras.
¿Utilizas LastPass o alguna otra herramienta similar para gestionar tus contraseñas?
Quizá te interese:
- En noviembre demostrarán varias vulnerabilidades críticas en LastPass
- LastPass permitirá sincronizar contraseñas en dispositivos móviles de forma gratuita
- LastPass ha sido hackeado. ¿Qué debemos hacer?