El popular gestor de contraseñas LastPass advirtió a los usuarios actualizar las contraseñas de sus cuentas maestras, después de que su red de almacenamiento de claves online sufriera un ataque.
La compañía ha escrito una entrada de blog para notificar primero a los clientes, antes de enviar mensajes de correo electrónico directamente a los usuarios. El ataque fue descubierto el pasado viernes, cuando notaron la intrusión: "Nuestro equipo descubrió y bloqueó actividad sospechosa en nuestra red".
Una investigación descubrió que mientras que los atacantes no habían comprometido los datos cifrados de los usuarios, "direcciones de correo electrónico, recordatorios de contraseñas y hashes de autenticación se vieron comprometidos". Además, mencionaron como componente afectado a la sal utilizada para cada usuario, es decir, el conjunto de datos que se le añade a las contraseñas durante el cifrado para que sean más difíciles de robar.
En un correo electrónico de seguimiento directo a los clientes, la compañía declaró que confía en que los algoritmos de cifrado que utiliza protegerán suficientemente a los usuarios, pero dijo que se están implementando medidas adicionales para remediar el inconveniente. "Para garantizar aún más la seguridad, estamos requiriendo verificación por correo electrónico al iniciar sesión desde un nuevo dispositivo o dirección IP".
Sin embargo, de parte del gestor de contraseñas LastPass han señalado que los datos comprometidos no fueron utilizables en forma inmediata para los atacantes: “LastPass fortalece el hash de autenticación con una sal aleatoria y 100.000 rondas de funciones PBKDF2-SHA256 del lado del servidor, además de las rondas realizadas del lado del cliente. Este fortalecimiento adicional hace que sea difícil de atacar a los hashes robados con cualquier velocidad significativa".
The Guardian informa que la empresa pidió a los usuarios actualizar su contraseña maestra después del ataque. No está de más recordar cómo construir una contraseña fuerte y segura.
Algunos usuarios de LastPass han respondido a la noticia solicitando más información sobre la naturaleza del ataque, y detalles sobre cómo la compañía planea prevenir otros similares en el futuro. Sin embargo, varios que publicaron en el blog de la compañía destacaron la pronta divulgación del ataque, y halagaron a LastPass por su postura en materia de seguridad.
Este último ataque a las contraseñas destaca la importancia de seguir siempre las mejores prácticas de seguridad, mientras que la industria continúa desarrollando alternativas nuevas y radicales que podrían reemplazarlas.
Sigue leyendo: 4 herramientas para hacer más fácil la gestión de contraseñas