LastPass es uno de los gestores de contraseñas más conocidos del mercado, y de hecho aquí lo hemos recomendado más de una vez como uno de los mejores dentro de su sector. Utilizar un gestor de contraseñas es una buena opción para guardar de forma segura todas tus claves de acceso, pero incluso este tipo de herramientas son susceptibles de ser hackeadas.
Y eso es precisamente lo que ha ocurrido con LastPass. En las últimas horas la compañía ha publicado un comunicado donde informa de un “incidente de seguridad” que habría dejado expuestos los datos de los usuarios de la plataforma.
Más concretamente, desde LastPass indican que “personas no autorizadas obtuvieron acceso a un servicio de almacenamiento basado en la nube, que LastPass utiliza para almacenar copias de seguridad archivadas de nuestros datos de producción”.
El robo a LastPass incluye nombres, números de teléfono, emails y otros datos personales de sus usuarios
A efectos prácticos, lo que nos vienen a decir desde LastPass es que los atacantes lograron extraer una serie de datos de los backups de la compañía, entre los que se encuentran los nombres de los usuarios, sus direcciones de facturación, correo electrónico, números de teléfono y direcciones IP.
Con esta información los ciberdelincuentes habrían podido acceder a las contraseñas de los usuarios. Sin embargo, desde LastPass aseguran que, aunque así fuera, las contraseñas estarían seguras, ya que están protegidas por el cifrado AES de 256 bits.
Esto significa que las contraseñas solo se pueden descifrar mediante la clave de cifrado única derivada de la contraseña maestra de cada usuario. Por suerte, esta contraseña maestra no se almacena en los servidores de LastPass.
En cualquier caso, desde LastPass recomiendan a los usuarios usar una contraseña maestra con un mínimo de 12 caracteres, y no reutilizar esa misma contraseña en otras páginas web.
La fuga de datos ya se ha consumado, y aunque los atacantes no puedan conseguir las contraseñas porque están cifradas, el resto de datos como los emails, nombres y números de teléfono ahora están en manos de los atacantes. En este sentido, tampoco estaría de más modificar la contraseña del correo y tomar cualquier otra medida de seguridad que consideremos oportuna.
