Tras una filtración de datos que tuvo lugar hace varios meses, el gestor de contraseñas LastPass revela que el hacker podría haber accedido a información sensible de algunos clientes. Así que algunas precauciones deben tomarse, para las personas que se han almacenado «frases semilla» de cryptocurrency carteras a través de este servicio.
El gestor de contraseñas LastPass hackeado
El jueves, los equipos del gestor de contraseñas LastPass informaron de que un hacker había accedido a datos sensibles comprometidos en una filtración el 25 de agosto:
«Basándonos en nuestra investigación hasta la fecha, hemos sabido que un actor malicioso desconocido accedió a un entorno de almacenamiento en la nube aprovechando la información obtenida del incidente que revelamos previamente en agosto de 2022. «
Un gestor de contraseñas permite, como su nombre indica, almacenar todas las contraseñas propias y generar fácilmente otras nuevas de alta seguridad. La base de datos de LastPass, que fue pirateada, contiene la información personal de los clientes almacenada en su caja fuerte. Dado que la caja fuerte puede contener todo tipo de datos, como documentos de identidad o claves privadas de carteras de criptomonedas, estos datos están ahora expuestos a fugas.
Como las cajas fuertes están protegidas por contraseñas que no almacena LastPass, la empresa afirma que los datos que contienen siguen estando supuestamente seguros, siempre y cuando no se encuentre la contraseña.
Sin embargo, un inversor cree que LastPass no estaría revelando todo el alcance de la situación, ya que cuatro de sus monederos secundarios, cuya frase semilla almacenó en la aplicación, se han vaciado:
Creo que la situación en @LastPass puede ser peor de lo que dejan ver.
El domingo 18, cuatro de mis carteras fueron comprometidas. Las pérdidas no son significativas.
Sus semillas fueron guardadas, encriptadas, en mi bóveda de lastpass, detrás de una contraseña de 16 caracteres usando todos los tipos de caracteres.
– path.eth 🛡️ (@Cryptopathic) 23 de diciembre de 2022
Aunque la víctima asegura que las pérdidas no son significativas, insiste en que la contraseña de su caja fuerte no se utilizó en ningún otro sitio y que su complejidad descarta la posibilidad de que se descifre mediante un «ataque de fuerza bruta».
Qué hacer si utilizas LastPass
Dados los datos sensibles que pueden esconderse detrás de todas estas contraseñas, no debe confiar únicamente en la comunicación pública de LastPass.
Si estuvieras almacenando frases semilla de monederos de criptomonedas en este servicio, sería prudente transferir todos estos fondos a una dirección de clave privada diferente como precaución.
Cambiar la contraseña maestra para acceder a la cámara acorazada no será suficiente, ya que la contraseña actual seguiría siendo la misma en la base de datos robada, y el hacker o hackers podrían seguir accediendo a la información almacenada en ella.
Por tanto, sería prudente cambiar de gestor de contraseñas, pero sobre todo restablecer todas las contraseñas de todas sus cuentas consideradas «sensibles». En el caso de las autenticaciones de dos factores (2FA) alojadas en la aplicación, también deben restablecerse para utilizar otro servicio.
Aunque esta filtración de datos es mucho más grave de lo que afirma LastPass, también hay que tener en cuenta que cualquier tarjeta de crédito o documento de identidad que se guardara en estas cajas fuertes también podría estar en peligro.
