LastPass está haciendo cambios en las cuentas. Hoy le explicamos por qué.

Tal vez haya observado que últimamente hemos pedido a nuestros clientes que cambien algunas cosas en sus cuentas de LastPass. Por ejemplo, modificar la longitud y la complejidad de la contraseña maestra para cumplir con las prácticas recomendadas o volver a inscribir su autenticación multifactor (MFA), entre otras cosas. Todos estos cambios están pensados para aportar más seguridad a nuestros clientes y hoy queremos compartir más información sobre las ciberamenazas actuales que nos han llevado a pedirlos para que los clientes puedan entender mejor por qué son tan importantes. Aquí hablaremos de algunos de estos cambios y explicaremos las amenazas que los justifican y cómo pueden ayudar estas modificaciones. Nuevos requisitos para las contraseñas maestras ¿Por qué lo hacemos? Si hablamos de seguridad y resiliencia de una contraseña, el tamaño importa. Pero hay más cosas: la seguridad de una contraseña es un parámetro complejo que depende de numerosos factores, como la longitud, la complejidad y la imprevisibilidad. Según las pautas actuales del National Institute of Standards and Technology (NIST), las contraseñas de creación humana deben tener por lo menos 8 caracteres de longitud (NIST 800-3B), pero a la luz de los últimos avances en tecnología de ataque por fuerza bruta y hackeo de contraseñas y teniendo en cuenta la tendencia natural de las personas a crear contraseñas predecibles y fáciles de recordar, la recomendación es usar una contraseña todavía más larga. Los nuevos requisitos de la contraseña maestra de LastPass forma parte de un conjunto de iniciativas de aplicación progresiva para ayudar a nuestros clientes a protegerse mejor frente a las ciberamenazas actuales y futuras. Aunque la contraseña maestra de 12 caracteres ha sido la opción predeterminada en LastPass desde 2018, los clientes siempre tenían la posibilidad de hacer caso omiso de los ajustes recomendados y crear una contraseña maestra más corta, si así lo preferían. Hoy, con la obligatoriedad de una contraseña maestra con un mínimo de 12 caracteres, sumada al aumento en el número de iteraciones PBKDF2 introducido a principios de este año, ayudamos a nuestros clientes a configurar unas claves de cifrado más seguras y resilientes para consultar y cifrar los datos de su bóveda de LastPass. Detalles sobre los nuevos requisitos Desde abril de 2023, todos los nuevos clientes de LastPass, así como los clientes existentes que han solicitado el restablecimiento de sus contraseñas maestras, han tenido que crear contraseñas de como mínimo 12 caracteres o modificar las existentes según el nuevo requisito. A partir de enero de 2024, LastPass obligará a todos sus clientes a utilizar una contraseña maestra de como mínimo 12 caracteres. Para modificar la contraseña, los clientes primero deben iniciar sesión en su cuenta de LastPass y seguir uno de los pasos siguientes según su situación actual:

• Los clientes que confirmen que ya tienen una contraseña maestra de 12 caracteres o más no tienen que hacer nada, pues ya cumplen con la nueva política.
• Los clientes que todavía no cumplen con la nueva política tendrán que crear una nueva contraseña maestra de 12 caracteres o más.

En el caso de los clientes que tengan que actualizar su contraseña maestra, hay una serie de recomendaciones que deben tener en cuenta.

• El número mínimo de caracteres es 12, pero se recomienda utilizar más.
• Debe contener como mínimo un carácter de cada uno de los siguientes tipos: mayúsculas, minúsculas, números y caracteres especiales.
• Debe ser fácil de recordar, pero no de adivinar (por ejemplo, una frase de contraseña).
• Asegúrese de que es única solo para usted.
• No puede usar su dirección de correo como contraseña maestra.
• No utilice información personal en su contraseña maestra.
• No utilice caracteres secuenciales (como 1234) ni caracteres repetidos (por ejemplo, aaaa).
• Asegúrese de no reutilizar su contraseña maestra en otras cuentas o aplicaciones.

¿Por qué todavía no me han pedido que cambie la contraseña maestra? Esta política se aplicará de forma progresiva entre nuestra base de clientes, primero mediante el envío de notificaciones por correo electrónico a nuestros clientes Free, Premium y Families, y después a nuestros clientes Teams y Business, a finales de enero de 2024. Para facilitar las cosas a nuestros usuarios finales, LastPass permite a los clientes elegir cuánto tiempo debe pasar después de un inicio de sesión para que el sistema les pida introducir su contraseña maestra. A causa de estas opciones de personalización, no podemos prever cuánto tiempo hará falta para alcanzar un 100% de adopción en nuestra base de clientes. Configurar la recuperación de cuenta antes de modificar la contraseña maestra Cómo cambiar la contraseña maestra Búsqueda de las nuevas contraseñas maestras en la Dark Web A partir del próximo mes, LastPass también empezará a cotejar al momento las contraseñas maestras nuevas o restablecidas con una base de datos de credenciales robadas para garantizar que la contraseña no ha estado previamente expuesta en la Dark Web. Si se detecta la contraseña en un robo anterior, aparecerá una alerta de seguridad para avisar al cliente de que la contraseña ya había estado expuesta y le pedirá que elija otra contraseña para continuar. ¿Por qué lo hacemos?  En este caso la razón es muy simple: las contraseñas expuestas son fáciles de hackear. Los descifradores de contraseñas actuales pueden absorber listas de contraseñas conocidas, lo que reduce drásticamente el tiempo necesario para adivinar las credenciales de una cuenta. Al impedir que nuestros clientes puedan utilizar una contraseña ya expuesta, dificultamos considerablemente que pueda llegar a descifrarse. ¿Qué es el control de Dark Web? Cómo activar el control de Dark Web en LastPass Nuevas inscripciones de autenticación multifactor (MFA) En mayo de 2023 LastPass empezó a trabajar para agilizar las nuevas inscripciones de MFA para clientes Business no federados que utilizan los autenticadores más habituales, como Microsoft Authenticator, Google Authenticator o LastPass Authenticator. En el caso de la autenticación con Grid, la nueva inscripción estará disponible próximamente y los clientes podrán realizar la nueva inscripción con Microsoft o Google. ¿Por qué lo hacemos?  Tal y como explicamos en las comunicaciones relacionadas con el incidente de seguridad de marzo de 2023, el restablecimiento de la MFA es una acción necesaria para mitigar los riesgos derivados de la exposición de la copia de seguridad de la base de datos de la autenticación multifactor/federación de LastPass. Si todavía no lo ha hecho, inicie una nueva inscripción manual de la MFA para clientes no federados. Puede consultar las instrucciones detalladas en nuestro boletín de seguridad. Conclusión Estos cambios se están introduciendo en respuesta a la constante evolución en las ciberamenazas y con el objetivo de reforzar la protección de nuestros clientes. LastPass no le pedirá que tome medidas ni cambie nada sin un objetivo concreto y siempre procuraremos comunicar de forma transparente en qué consiste este objetivo. Siga las últimas publicaciones del blog de LastPass Labs para estar al corriente de los últimos cambios y novedades sobre las amenazas que acechan a los métodos de autenticación, a nuestro sector y a nuestros clientes.