Hoy día se hace difícil el uso de páginas web sin tener un usuario y contraseña. Foros, tiendas online, correo electrónico. La cifra de usuarios / contraseña ha ido creciendo paulatinamente, llevando a los usuarios a tomar diferentes decisiones:
- Usar la misma contraseña en todos los servicios (ERROR: NUNCA HACER ESTO)
- Apuntar las contraseñas en una libreta sin ningun orden (ACEPTABLE SOLUCION)
- Apuntar las contraseñas en una libreta con usuario y contraseña ordenadas alfabéticamente y actualizadas (LA IDEAL)
- Usar un gestor de contraseñas (LO MAS PRACTICO, PERO…)
Gestores de contraseñas
Ante tal vorágine de contraseñas, utilizar un gestor de contraseñas es lo más practico, recuerdas una y tienes a tu alcance todas en cualquier equipo y lugar. Además, en teoría son seguros, todo esta encriptado, verificación en dos pasos…
En teoría…
Pues sí, para 35 millones de usuarios de LastPass dicha teoría de seguridad se ha esfumado.
El robo a LastPass
Hay una expresión, que es «entrar hasta la cocina», pues básicamente les ha pasado eso. En el robo se han incluido dos tipos de datos:
- En texto plano, o lo que es lo mismo, visible a simple vista
- Email de registro
- Email de seguridad
- Teléfono
- Direccion de facturación
- Semilla del factor doble de verificación
- Logs (IP, etc)
- URL (Paginas web guardadas)
- Cifrados en las bóvedas
- Todas las contraseñas cifradas
¿Debo preocuparme si soy usuario de LastPass?
Respuesta corta, sí. Añadir que tener activado el factor de doble verificación 2FA no sirve de nada en este caso, pues actúa pre-bóvedas, es decir, para acceder a las bóvedas solo se necesita la contraseña maestra. Debes preocuparte si:
- Usaste una contraseña maestra muy facil
- Usaste una contraseña maestra que usas en mas servicios
- Usaste una contraseña maestra comprometida (puedes comprobarlo en https://haveibeenpwned.com/)
También tendrás que estar atento/a al correos o sms muy específicos de phishing, pues recordamos que en el robo sí han podido robar la dirección de correo electrónico, numero de teléfono y usuario, y no es raro que se envíen correos fraudulentos con esos datos para intentar obtener tu contraseña maestra.