Cómo proteger a los usuarios de LastPass frente a la reutilización de las contraseñas

En las últimas semanas seguramente se habrá cansado de ver en las noticias que muchas empresas muy importantes, como LinkedIn y MySpace, han sufrido últimamente robos de datos e incidentes relacionados con la seguridad. Por desgracia, cuando se producen sucesos de tal magnitud, millones de nombres de usuario y contraseñas quedan al descubierto y cualquiera puede hacer un mal uso de ellos. El modo más fácil para los atacantes de utilizar esas credenciales es intentar iniciar sesión de manera sistemática en otros sitios web con las mismas combinaciones de nombre de usuario y contraseña.

Como muchas veces reutilizamos las contraseñas, los atacantes obtienen rápidamente acceso a las cuentas en otros sitios web mediante lo que se conocen como “ataques basados en la reutilización de contraseñas”. El sitio web nuevo por sí mismo no es el que genera el problema de seguridad, pero sus usuarios pasan a estar bajo riesgo porque han utilizado las mismas contraseñas en varias páginas web. Tenemos la suerte de contar con uno de los gestores de contraseñas más utilizados, pero eso tampoco significa que nuestro servicio esté a salvo de sufrir esos intentos de iniciar sesión de manera fraudulenta. Además, como la reutilización de las contraseñas es una práctica muy extendida (a pesar de ser muy peligrosa), hacemos todo lo que podemos para defender a nuestros usuarios, incluso si eso significa protegerles contra ellos mismos.

De ahí que nuestro equipo de ingenieros de seguridad supervise constantemente la Web en busca de nombres de usuario y contraseñas que se filtran cuando son atacados otros sitios web. Cuando nos llegan noticias de que se han producido nuevos robos de datos, conseguimos inmediatamente las listas de los nombres de usuario y las contraseñas que se han filtrado y las comparamos con nuestra propia base de usuarios para ver si alguna de ellas coincide con las de las cuentas de LastPass. En caso afirmativo, deshabilitamos inmediatamente la cuenta para así proteger la bóveda del usuario. Esto es algo que el equipo de LastPass ha estado haciendo durante años con el fin de proteger de manera preventiva a nuestros usuarios.

¿Qué medidas hemos tomado?

En el caso del reciente incidente que afectó a LinkedIn, la vulneración de los datos en sí se produjo hace algunos años, pero es ahora cuando la lista de nombres de usuario y contraseñas ha sido revelada en la Web. Hemos respondido deshabilitando las cuentas de usuario de LastPass para las que se han filtrado las credenciales. Queremos dejar claro que no ha habido ningún robo o problema de seguridad que haya afectado a LastPass. Hemos tomado esta medida con el único fin de proteger a aquellos usuarios que han reutilizado sus contraseñas en otros sitios web que han sido hackeados.

¿Tiene LastPass mi contraseña maestra?

No, LastPass nunca tiene su contraseña maestra. Cuando se roban contraseñas de otras Webs, LastPass procesa esos datos con scripts que simulan un intento de iniciar sesión. El script ejecuta la función hash PBKDF2 estándar que utiliza LastPass cada vez que inicia sesión para saber si la contraseña que ha introducido es correcta. A continuación comparamos el resultado del script con el hash de contraseñas que tenemos almacenado en nuestra base de datos. Si los hashes de contraseñas coinciden, significa que la contraseña fue reutilizada en su cuenta de LastPass y deshabilitaremos esa cuenta.

¿Qué pueden hacer los usuarios de LastPass?

Si su cuenta ha sido deshabilitada, se le solicitará que inicie sesión desde una ubicación de confianza para verificar y volver a habilitar su cuenta. Para rehabilitar su cuenta:

  1. Inicie sesión a través de la bóveda web https://lastpass.com/
  2. A continuación se activará el proceso de rehabilitación.
  3. Desde allí, inicie sesión a través de la extensión o la bóveda web y será dirigido para restablecer su contraseña maestra.

Si ve un mensaje que le indica que su cuenta está desactivada, cuando trate de iniciar sesión simplemente diríjase a https://lastpass.com para iniciar el proceso de verificación. Si está iniciando sesión desde un dispositivo desconocido o una nueva ubicación, será redirigido a otro dispositivo de confianza, o se le pedirá que inicie sesión desde una ubicación anterior (dirección IP) a través de la cual accedió a su cuenta en otras ocasiones.

Una vez finalice este proceso, desbloqueará su cuenta y podrá actualizar su contraseña maestra con una contraseña nueva y más segura.

Posteriormente recomendamos usar el Reto de Seguridad LastPass para buscar en su bóveda otras Webs en las que esté reutilizando las contraseñas. LastPass puede ayudarle a sustituir esas contraseñas por otras contraseñas únicas y más seguras. Incluso aunque no haya reutilizado su contraseña maestra de LastPass, es un buen momento para ejecutar el Reto de Seguridad y asegurarse de que utiliza una contraseña diferente para cada sitio web.