Tus contraseñas de LastPass pueden estar en peligro

Tener un gestor de claves para poder iniciar sesión con facilidad en redes sociales, cuentas bancarias o el correo es algo habitual. Hay muchas opciones, pero sin duda una de las más famosas es LastPass. Ahora, los usuarios de este servicio se han encontrado con un mensaje de alerta que indica que su contraseña maestra está comprometida. Un problema que, sin duda, pone en riesgo la privacidad y seguridad.

Contraseña maestra comprometida en LastPass

Muchos usuarios de LastPass han informado de que han recibido un mensaje de alerta donde les indicaban que su clave maestra había sido comprometida. Concretamente, el mensaje alertaba de que alguien había intentado usarla para iniciar sesión en las cuentas a través de ubicaciones desconocidas.

No obstante, esas notificaciones indicaban que los intentos de iniciar sesión habían sido bloqueados por encontrarse en ubicaciones desconocidas. Hay que tener en cuenta que esto es algo común y que por seguridad muchos servicios online utilizan. Por ejemplo si abrimos la cuenta bancaria desde una ubicación desconocida, como sería otro país, en muchos casos debemos verificar la identidad y evitar así ataques.

Concretamente, el mensaje decía que alguien había intentado usar la clave maestra para intentar iniciar sesión desde un dispositivo o ubicación desconocidos. Eso hizo que LastPass bloqueara el intento y solicitaba al usuario que tuviera cuidado y revisara eso.

Según informaron desde LastPass, se trata de un intento de ataque conocido como Credential Stuffing. Básicamente se trata de un tipo de ataque que se basa en vulnerabilidades para robar contraseñas y credenciales de bases de datos.

Se trata de bots que han intentado acceder a las cuentas de los usuarios de LastPass utilizando direcciones de correo y contraseñas que previamente han obtenido a través de infracciones en otros servicios. Usan esas credenciales básicamente para probar entrar en el gestor de claves.

No hay indicios de que haya tenido éxito

Desde LastPass aseguran que no hay ningún indicio que haga pensar que esos ataques han tenido éxito. Informan de que controlan este tipo de actividades constantemente para detectar posibles irregularidades y no han detectado nada extraño.

Sin embargo, algunos usuarios aseguran que sus contraseñas son únicas para LastPass, por lo que no han podido verse filtradas en ningún otro servicio online. Esto hace que la teoría de que han podido aprovecharse de otros servicios que han sufrido algún problema previo, pueda no ser cierta.

No obstante, desde LastPass se mantienen firmes en que no ha habido ningún acceso indeseado y que todo ha estado monitorizado. No hay nada que haga pensar que realmente un atacante ha tenido éxito para poder entrar en cuentas ajenas.

Desde RedesZone recomendamos cambiar la contraseña maestra de LastPass para prevenir. Además, lo ideal si tienes cuenta en LastPass o cualquier otro gestor de claves, es cambiar la contraseña de forma periódica en todos los servicios vinculados. De esta forma se reduce la posibilidad de que aparezcan problemas y que un atacante pueda aprovecharse para lograr acceder a cualquier servicio online que haya vinculado a ese administrador de contraseñas.

Actualización de LastPass

A la hora de publicar este artículo, los usuarios no habían tenido una respuesta oficial sobre qué había ocurrido. Ahora, desde LastPass, indican que todo se debe a un error. No ha habido ninguna filtración a través de terceros servicios y las contraseñas de los usuarios realmente nunca han estado en peligro.

Lo que ha ocurrido un error con los sistemas de alerta de LastPass. Eso hizo que enviaran un mensaje a determinados usuarios indicando que había habido un intento de iniciar sesión en otra ubicación y lo habían bloqueado. Pero realmente nadie había intentado acceder, sino que todo fue una falsa alarma.

Por tanto, los usuarios de este popular administrador de contraseñas pueden estar tranquilos de que sus claves no han corrido ningún peligro. Simplemente todo ha quedado en un error en las alertas de seguridad.