Un atacante de LastPass robó datos del almacén de contraseñas, mostrando las limitaciones de la Web 2.0

El servicio de gestión de contraseñas LastPass fue hackeado en agosto de 2022, y el atacante robó las contraseñas cifradas de los usuarios, según un comunicado de la empresa del 23 de diciembre. Esto significa que el atacante podría ser capaz de descifrar algunas contraseñas de sitios web de los usuarios de LastPass mediante adivinación por fuerza bruta.

Notice of Recent Security Incident – The LastPass Blog#lastpasshack #hack #lastpass #infosec https://t.co/sQALfnpOTy

— Thomas Zickell (@thomaszickell) December 23, 2022

LastPass reveló por primera vez la brecha en agosto de 2022, pero en ese momento parecía que el atacante solo había obtenido código fuente e información técnica, no datos de clientes. Sin embargo, la compañía ha investigado y descubierto que el atacante utilizó esta información técnica para atacar el dispositivo de otro empleado, que luego se utilizó para obtener claves de datos de clientes almacenados en un sistema de almacenamiento en la nube.  

Como resultado, los metadatos no cifrados de los clientes han sido revelados al atacante, incluyendo “nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio LastPass”.

Además, se robaron las bóvedas cifradas de algunos clientes. Estas bóvedas contienen las contraseñas de sitios web que cada usuario almacena con el servicio LastPass. Por suerte, las bóvedas están encriptadas con una Contraseña Maestra, lo que debería impedir que el atacante pudiera leerlas.

El comunicado de LastPass hace hincapié en que el servicio utiliza cifrado de última generación para que sea muy difícil para un atacante leer los archivos de la bóveda sin conocer la Contraseña Maestra, declarando:

“Estos campos cifrados permanecen protegidos con un cifrado AES de 256 bits y sólo pueden descifrarse con una clave de cifrado única derivada de la contraseña maestra de cada usuario utilizando nuestra arquitectura Zero Knowledge”. Como recordatorio, la contraseña maestra nunca es conocida por LastPass y no es almacenada ni mantenida por LastPass”.

Aun así, LastPass admite que si un cliente ha utilizado una contraseña maestra débil, el atacante puede ser capaz de utilizar la fuerza bruta para adivinar esta contraseña, lo que les permite descifrar la bóveda y obtener todas las contraseñas de sitios web de los clientes, como explica LastPass:

“Es importante tener en cuenta que si tu contraseña maestra no hace uso de las [mejores prácticas que recomienda la compañía], entonces se reduciría significativamente el número de intentos necesarios para adivinarla correctamente. En este caso, como medida de seguridad adicional, deberías considerar minimizar el riesgo cambiando las contraseñas de los sitios web que tengas almacenados”.

¿Pueden eliminarse los hackeos de gestores de contraseñas con Web 3.0?

El exploit de LastPass ilustra una afirmación que los desarrolladores de la Web 3.0 llevan años haciendo: que el sistema tradicional de inicio de sesión con nombre de usuario y contraseña debe desecharse en favor de los inicios de sesión con monederos de blockchain.

Según los defensores del inicio de sesión con monedero de criptomonedas, los inicios de sesión con contraseña tradicionales son fundamentalmente inseguros porque requieren que los hashes de las contraseñas se guarden en servidores en la nube. Si estos hashes son robados, pueden ser descifrados. Además, si un usuario utiliza la misma contraseña para varios sitios web, el robo de una contraseña puede provocar la violación de todas las demás. Por otra parte, la mayoría de los usuarios no pueden recordar varias contraseñas para distintos sitios web.  

Para resolver este problema, se han inventado servicios de gestión de contraseñas como LastPass. Pero estos también se basan en servicios en la nube para almacenar bóvedas de contraseñas cifradas. Si un atacante consigue obtener el almacén de contraseñas del servicio de gestión de contraseñas, podría descifrarlo y obtener todas las contraseñas del usuario.

Las aplicaciones Web 3.0 resuelven el problema de otra forma. Utilizan billeteras extensión del navegador como Metamask o Trustwallet para iniciar sesión utilizando una firma criptográfica, eliminando la necesidad de almacenar una contraseña en la nube.

Pero hasta ahora, este método sólo se ha estandarizado para aplicaciones descentralizadas. Las aplicaciones tradicionales que requieren un servidor central no tienen actualmente un estándar acordado sobre cómo utilizar las criptocarteras para iniciar sesión.

Sin embargo, una reciente Propuesta de Mejora de Ethereum (EIP) pretende remediar esta situación. Llamada “EIP-4361”, la propuesta intenta proporcionar un estándar universal para los inicios de sesión web que funcione tanto para aplicaciones centralizadas como descentralizadas.

Si la industria de la Web 3.0 acuerda e implementa este estándar, sus defensores esperan que toda la red mundial acabe por deshacerse por completo de los inicios de sesión con contraseña, eliminando el riesgo de brechas en los gestores de contraseñas como la ocurrida en LastPass.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Sigue leyendo:

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.