Por qué todavía puedes confiar en (otros) gestores de contraseñas, incluso después del desorden de LastPass
Por qué confiar en otros gestores de contraseñas después de LastPass
He escrito mucho sobre la gestión de contraseñas en los últimos años. De hecho, cuando la gente me pregunta qué tipo de software de seguridad deberían usar, mi respuesta siempre comienza con: “Encuentra un buen gestor de contraseñas y úsalo”.
Cuando tengo esas discusiones en la vida real, siempre escucho las mismas preguntas y objeciones, la mayoría de las cuales son perfectamente sensatas y necesitan ser respondidas. Este comentario, publicado en respuesta a mi publicación reciente sobre seguridad en línea, es un gran ejemplo:
Hablando de gestores de contraseñas, estaría un poco cauteloso ya que LastPass fue hackeado y se filtraron los archivos de contraseñas encriptadas de los usuarios. Los hackers han estado intentando descifrar sus contraseñas maestras y aparentemente tuvieron éxito en algunos casos, incluso robando el contenido de las billeteras de criptomonedas de las personas.
La pregunta natural es, ¿los gestores de contraseñas siguen siendo una gran idea cuando este tipo de cosas pueden suceder? Los usuarios afectados tuvieron que pasar incontables horas cambiando sus docenas o cientos de contraseñas en todas partes. Eso sería demasiado trabajo y dolor de cabeza.
Además de productos de terceros como LastPass, ¿podemos confiar en los gestores de contraseñas incorporados en Firefox, Chrome y Edge? Supongo que estos tienen grandes empresas detrás que hacen todo lo posible para evitar una situación de compromiso masivo y vergonzoso, pero supongo que LastPass también hizo lo mismo.
Ese es un resumen admirablemente conciso de los problemas con los gestores de contraseñas de los que creo que la mayoría de las personas están preocupadas. También plantea un montón de preguntas sobre lo que hizo LastPass, exactamente. Entonces, comencemos con un resumen rápido de lo que fue el desastre de seguridad de LastPass, y por qué fue especialmente terrible para sus clientes.
¿Qué le sucedió a LastPass?
Entre los servicios en línea que te ayudan a organizar tus contraseñas, LastPass fue un líder temprano y todavía es un jugador importante. La marca LastPass fue lo suficientemente valiosa como para que LogMeIn adquiriera la compañía hace ocho años por $110 millones. Algunos años después, LastPass se separó en su propia compañía, pero aún estaba controlada por las firmas de capital privado que son propietarias de LogMeIn. En su relato de la venta, PCMag señaló que esas compañías “se especializan en tratar de maximizar el valor de un activo para su venta posterior”.
Esa no es la descripción tranquilizadora que quieres ver para una empresa de seguridad. El resultado, como escribí a fines de 2022, era predecible:
LastPass fue absorbido por LogMeIn en 2015. Y luego, en 2021, LogMeIn anunció que planeaba separar LastPass como una compañía independiente. Los observadores perspicaces de la industria del software saben que este enfoque rara vez funciona bien. En el mejor de los casos, tus empleados están distraídos por todo el espectáculo de fusiones y adquisiciones. En el peor de los casos… bueno, aquí estamos.
¿Por qué fue tan terrible el último hackeo de LastPass?
LastPass ha sido víctima de múltiples hackeos exitosos desde al menos 2011. Pero las dos intrusiones en 2022 fueron especialmente malas. La notificación oficial de una publicación en el blog de LastPass en diciembre de 2022 tuvo un título insulso “Aviso de incidente de seguridad reciente”, pero el contenido de esa publicación fue un escenario de pesadilla para los clientes que pagan por un servicio en línea que promete mantener sus secretos a salvo de los atacantes externos.
Recientemente te informamos que una parte no autorizada obtuvo acceso a un servicio de almacenamiento en la nube de terceros, que LastPass utiliza para almacenar copias de seguridad archivadas de nuestros datos de producción.
Este ataque ocurrió después de una intrusión exitosa separada en las redes de LastPass en agosto de 2022. En ese incidente, los atacantes obtuvieron información que utilizaron para atacar a un empleado de LastPass y pudieron obtener credenciales y claves que utilizaron para acceder y descifrar archivos en el servicio de almacenamiento en línea, Amazon’s AWS S3.
Y empeora.
Hasta la fecha, hemos determinado que una vez que se obtuvieron la clave de acceso al almacenamiento en la nube y las claves de desencriptación del contenedor de almacenamiento dual, el actor de amenaza copió información de la copia de seguridad que contenía información básica de la cuenta del cliente y metadatos relacionados, incluidos los nombres de las empresas, los nombres de los usuarios finales, las direcciones de facturación, las direcciones de correo electrónico, los números de teléfono y las direcciones IP desde las cuales los clientes estaban accediendo al servicio de LastPass.
El actor de amenaza también pudo copiar una copia de seguridad de los datos del almacén de contraseñas de los clientes desde el contenedor de almacenamiento encriptado, que se almacena en un formato binario propietario que contiene tanto datos sin encriptar, como URL de sitios web, como campos sensibles completamente encriptados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos completados en formularios.
Si estás interesado en los detalles técnicos de los datos que fueron robados, lee este completo resumen de Lawrence Abrams en Bleeping Computer.
También: Los mejores servicios de VPN: Probados y revisados por expertos
La mala noticia es que se robaron muchos datos de los clientes. La buena noticia es que las bóvedas de contraseñas estaban encriptadas utilizando la tecnología AES de 256 bits con una clave de encriptación única derivada de la contraseña del usuario, la cual nunca se compartió con LastPass, lo que significa que tomaría una cantidad extraordinaria de tiempo y recursos informáticos para descifrarlas.
(Nota aparte: La palabra que nunca quieres leer después de un párrafo como ese es “sin embargo”. ¡Ay!)
Sin embargo, LastPass no aplicó la misma encriptación fuerte a otros datos de los clientes, incluyendo las URL de los sitios web y “ciertos casos de uso que involucran direcciones de correo electrónico”. Esa información resultó ser increíblemente valiosa como forma para que los atacantes determinaran qué bóvedas de contraseñas serían más valiosas. Según el experto en seguridad Brian Krebs, ese enfoque podría explicar una ola de ataques contra billeteras de criptomonedas que comenzó poco después del hackeo a LastPass:
[…] la mejor práctica para muchos entusiastas de la ciberseguridad ha sido durante mucho tiempo almacenar sus frases de inicio en algún tipo de contenedor encriptado, como un administrador de contraseñas, o dentro de un dispositivo de encriptación de hardware especializado y sin conexión, como una billetera Trezor o Ledger.
“La frase de inicio es literalmente el dinero”, dijo Nick Bax, director de analítica en Unciphered, una empresa de recuperación de billeteras de criptomonedas. “Si tienes mi frase de inicio, puedes copiar y pegar eso en tu billetera, y luego puedes ver todas mis cuentas. Y puedes transferir mis fondos”.
[…]
[Los investigadores de seguridad han] identificado una firma única que vincula el robo de más de $35 millones en criptomonedas de más de 150 víctimas confirmadas, con aproximadamente dos a cinco robos de alto valor ocurriendo cada mes desde diciembre de 2022. … [L]a única similitud obvia entre las víctimas que accedieron a ser entrevistadas fue que habían almacenado las frases de inicio para sus billeteras de criptomonedas en LastPass”.
¿Podría lo que ocurrió a LastPass ocurrirle a otro administrador de contraseñas?
Todo indica que LastPass ha estado llevando a cabo una operación increíblemente descuidada durante años. El empleado que fue objetivo era uno de los cuatro ingenieros DevOps con acceso a las claves de desencriptación de AWS. Uno pensaría que cualquier persona que acceda a los datos de clientes más sensibles estaría utilizando una PC dedicada que funciona en una red segura, pero eso no ocurrió aquí.
También: Adiós, LastPass: Estas son las mejores alternativas a LastPass
El ingeniero había estado accediendo a esos almacenes de datos desde una computadora personal que también estaba ejecutando un servidor de medios de terceros, que a su vez había sido comprometido, casi con seguridad por los mismos atacantes. A su vez, utilizaron esa vulnerabilidad para capturar la contraseña maestra del empleado para sus cuentas de LastPass y robar notas encriptadas que contenían claves de acceso y desencriptación para los datos de los clientes de LastPass.
LastPass había aumentado previamente la longitud requerida de las contraseñas maestras de sus clientes, de 8 a 12 caracteres, y también había aumentado el número de iteraciones utilizadas para generar claves privadas a partir de esas nuevas contraseñas más fuertes. Desafortunadamente, la compañía no había requerido a los usuarios que cambiaran las contraseñas existentes, lo que significaba que cualquier cliente de largo tiempo que estuviera utilizando una contraseña más antigua estaba utilizando una encriptación débil que era mucho más vulnerable a ataques de fuerza bruta.
Como parte de su seguimiento al incidente, LastPass anunció una extensa lista de cambios en sus políticas de seguridad, pero el daño ya estaba hecho.
También: Cómo eliminar completamente tus datos de los servidores de LastPass (eventualmente)
Estos no fueron los primeros ataques a LastPass. En 2017, investigadores externos revelaron una falla vergonzosamente descuidada en la forma en que la compañía gestionaba las credenciales de 2FA. Esa falla se produjo tras múltiples exploits de código remoto en el año anterior que llevaron a Tavis Ormandy de Google’s Project Zero a preguntar, incrédulo, “¿La gente realmente está usando esta cosa de LastPass?”
Ningún otro administrador de contraseñas conocido (y hay muchos) tiene un historial como este.
¿No estás pidiendo problemas al poner todas tus contraseñas en un solo lugar?
Sí, en teoría. Pero un administrador de contraseñas dedicado sigue siendo la única forma práctica para que los seres humanos con memorias humanas ordinarias creen y recuerden contraseñas fuertes, únicas y aleatorias para cada servicio seguro que utilizan.
Para usar una analogía puntual: si tuvieras $10,000 en efectivo, ¿preferirías almacenar cada billete de cien dólares en una alcancía barata con una cerradura de juguete, o preferirías colocar ese fajo de dinero en el banco, donde está en una bóveda masiva con cerraduras de última generación y guardias de seguridad armados?
Lo que hizo LastPass fue similar a dejar las llaves de la bóveda en el mostrador olvidando cerrar la puerta principal.
También: Mejor VPN para streaming: Desbloquea tus servicios de streaming favoritos ahora
De todas formas… Si vas a poner tus contraseñas en una bóveda encriptada, el desafío es proteger esa bóveda.
Y aquí está lo más importante: ¡la encriptación fuerte realmente funciona! Todos los servicios modernos de gestión de contraseñas, incluyendo LastPass, utilizan un modelo de Cero Conocimiento, lo que significa que el servicio no tiene acceso a tu clave de encriptación privada ni a la contraseña maestra que utilizas para acceder a tu cuenta.
Los atacantes que irrumpieron en la red de LastPass habían robado copias de seguridad de un (presumiblemente gran) número de bóvedas de contraseñas y, por lo tanto, eran capaces de realizar ataques de fuerza bruta sostenidos contra los datos encriptados. A pesar de esa ventaja, los atacantes aparentemente solo pudieron abrir unas pocas por mes, y solo apuntando a aquellas de las que estaban seguros de que contenían claves de bóvedas criptográficas. Probablemente se necesitó una cantidad asombrosa de recursos para hacerlo.
También: 6 simples reglas de ciberseguridad para seguir
Se necesitó una combinación de un atacante muy decidido y una operación muy descuidada en LastPass para permitir que esos archivos de bóvedas de contraseñas encriptadas fueran robados. No tengo conocimiento de ningún otro servicio de contraseñas que haya perdido ese tipo de datos de clientes. Si hubiera sucedido, habría sido noticia de primera plana.
Si realmente te preocupa la posibilidad de que alguien robe tus datos de contraseñas encriptadas, puedes elegir un gestor de contraseñas como KeePass, que te permite guardar la bóveda encriptada en una ubicación separada en la que confíes más en su seguridad. Pero un servicio de gestión de contraseñas bien administrado (no LastPass) debería poder manejar esta tarea como parte de sus operaciones diarias.
Si alguien roba mi contraseña maestra, ¿no tendrían acceso a todo en mi bóveda de contraseñas?
No, si tu servicio de gestión de contraseñas está haciendo su trabajo y requiere autenticación adicional en un dispositivo nuevo, como sería el caso si un atacante robara tus credenciales y luego intentara usarlas desde su propio dispositivo.
También: Deja de usar tu código de acceso de 4 dígitos del iPhone en público. Haz esto en su lugar
Cuando accedes a 1Password desde un dispositivo que no has utilizado anteriormente, por ejemplo, debes ingresar tu contraseña maestra y también ingresar tu clave secreta, que consta de 34 letras y números que solo tú conoces. La clave se genera cuando configuras tu cuenta por primera vez, y se te anima a imprimirla o guardarla en una ubicación segura, para que puedas acceder a ella cuando configures un nuevo dispositivo. Nunca se comparte con la nube de 1Password. Un atacante que robara tu contraseña maestra no podría acceder a tu bóveda encriptada porque no podría proporcionar esa clave.
Además, la mayoría de los gestores de contraseñas te permiten configurar la autenticación de dos factores, que requiere que uses un dispositivo de confianza para aprobar cualquier nuevo inicio de sesión antes de permitir el acceso a tu cuenta y los datos de la bóveda. Aquí también, un atacante que tenga tu contraseña maestra no podrá usarla sin obtener tu permiso, y alertándote en el proceso.
¿Puedo simplemente usar un gestor de contraseñas basado en el navegador?
Por todo el tiempo que puedo recordar, todos los fabricantes de navegadores han ofrecido un conjunto de funciones de llenado de contraseñas. Hace años, estas funciones eran rudimentarias y tenía sentido elegir una opción de terceros.
En los últimos años, sin embargo, todos los principales desarrolladores responsables de los navegadores modernos (Apple, Google, Microsoft y Mozilla) han logrado un gran avance con sus soluciones de autenticación, haciéndolas igual de efectivas que las características principales de un buen gestor de contraseñas de terceros. Y debido a que todos son gratuitos y utilizan almacenamiento en la nube bien administrado, son opciones perfectamente aceptables.
También: Los mejores navegadores para la privacidad
A principios de este año, escribí un extenso artículo titulado “Cómo elegir (y usar) un gestor de contraseñas”. Desplázate hasta el encabezado “¿Son suficientemente buenos los gestores de contraseñas integrados?” para ver reseñas breves de lo que obtienes de Apple, Google y Microsoft.
Desde el punto de vista de la usabilidad, probablemente es mejor optar por un servicio de terceros (consulta la lista de gestores de contraseñas recomendados de ENBLE aquí) siempre y cuando no sea administrado por ya-sabes-quien.
