La respuesta corta es no. Y sí, el motivo tiene que ver con los hackeos que sufrió en 2022. Al tratarse de un gestor de contraseñas que guarda todos tus datos de acceso (incluidos los nombres de usuario y las contraseñas de banca electrónica y otros servicios importantes), debería ser totalmente fiable. Aunque desconfiaríamos de cualquier servicio en línea o basado en la nube que afirme ser 100 % seguro y a prueba de piratas informáticos, no da buena imagen si maneja las contraseñas de millones de usuarios y sufre repetidos ataques. En el pasado, hemos dado a LastPass el beneficio de la duda en numerosas ocasiones. Fue hackeada en 2015, cuando se accedió a las direcciones de correo electrónico y a los recordatorios de contraseñas de los usuarios. Luego, en 2017, se encontró una vulnerabilidad en su extensión de navegador que podría haber sido utilizada para robar tus contraseñas. Esto fue parcheado, pero algo similar ocurrió en 2019, donde la última contraseña utilizada era vulnerable. Después, en agosto de 2022, LastPass publicó en su blog que una máquina utilizada para el desarrollo se había visto comprometida, pero que no había pruebas de que se hubiera accedido a los datos o contraseñas de los clientes. LastPass afirmó que no era necesario tomar ninguna medida porque la contraseña maestra y los almacenes cifrados (que contenían los nombres de usuario y las contraseñas) seguían a salvo. Por desgracia, esto resultó ser demasiado optimista: solo unos meses más tarde, los hackers utilizaron la información que habían obtenido en agosto para piratear LastPass de nuevo, esta vez accediendo a las direcciones de correo electrónico, números de teléfono y direcciones IP de los usuarios. Lo hicieron estafando a un empleado de LastPass y consiguiendo obtener la información necesaria para acceder a un almacenamiento en la nube que LastPass utiliza para guardar los datos de los clientes y las bóvedas de contraseñas. Las contraseñas, los nombres de usuario y las notas de esos almacenes están, por supuesto, cifrados, pero no todos los datos lo están: LastPass ha confirmado que también contienen URL de sitios web sin cifrar. Los hackers necesitarían adivinar tu contraseña maestra para descifrar la información de esas bóvedas, pero como pueden usar software para acelerar ese proceso, es cuestión de tiempo que consigan descifrar alguna, especialmente si usaste una contraseña más débil con menos de 12 caracteres, algo posible si no la has cambiado desde antes de 2018.
Soy usuario/a de LastPass, ¿qué debo hacer?
Según LastPass, si utilizas una contraseña segura, no deberías tener problemas, ya que el software generalmente disponible tardaría “millones de años” en descifrarla. “Debido a los métodos de hash y cifrado que utilizamos para proteger a nuestros clientes, sería extremadamente difícil intentar adivinar por fuerza bruta las contraseñas maestras de aquellos/as clientes/as que siguen nuestras mejores prácticas de contraseñas. Probamos de forma rutinaria las últimas tecnologías de descifrado de contraseñas con nuestros algoritmos para mantener el ritmo y mejorar nuestros controles criptográficos”. El actor de la amenaza también puede dirigirse a los clientes con ataques de phishing, relleno de credenciales, u otros ataques de fuerza bruta contra las cuentas en línea asociadas con su bóveda LastPass. Con el fin de protegerse contra la ingeniería social o ataques de phishing, es importante saber que LastPass nunca le llamará, enviará un correo electrónico o un mensaje de texto pidiéndole que haga clic en un enlace para verificar su información personal. Aparte de cuando inicie sesión en su bóveda desde un cliente LastPass, LastPass nunca le pedirá su contraseña maestra”. El problema es que si los hackers ya tienen una copia de tu bóveda, que está encriptada con tu antigua contraseña, cambiar ahora tu contraseña maestra de LastPass no supondrá ninguna diferencia porque sólo cambiará la encriptación de la versión que LastPass almacena, no la copia que tienen los malos. Esto significa que su única opción es cambiar las contraseñas de las cuentas dentro de la bóveda, de modo que si los hackers logran descifrar su bóveda, las contraseñas que obtengan ya no funcionarán.
¿Debo seguir usando LastPass?
No. Simplemente es imposible recomendarte que sigas utilizándolo. El historial de brechas y vulnerabilidades ya era bastante malo, pero el hecho de que ahora los malos hayan conseguido hacerse con bóvedas de contraseñas cifradas es la gota que ha colmado el vaso. También está el hecho de que el código de LastPass es de “código cerrado”. A diferencia del software de código abierto, esto significa que nadie ajeno a LastPass puede inspeccionar el código que utiliza para comprobar si existen vulnerabilidades. Existen gestores de contraseñas de código abierto, como Bitwarden y KeePass. Ya hemos dicho que deberías cambiar las contraseñas de las cuentas financieras importantes, pero deberías encontrar otro gestor de contraseñas y migrar tus contraseñas a él. La mayoría de los gestores de contraseñas funcionan como LastPass y almacenan tus contraseñas en la nube. Lo hacen para facilitar la sincronización de los inicios de sesión entre todos tus dispositivos, pero algunos ofrecen una opción “autoalojada” en la que puedes almacenar tu almacén localmente en tu dispositivo. Esto es mejor desde el punto de vista de la seguridad, pero suele significar que no es tan fácil sincronizar nuevos inicios de sesión y cambios de contraseña en todos los dispositivos que utilizas. Pero la seguridad y la comodidad rara vez van de la mano, así que depende de cuánto quieras mantener a salvo tus contraseñas si confías o no en un gestor de contraseñas basado en la nube.
