Confirmado: roban bóvedas de contraseñas de usuarios de LastPass en el último hackeo

LastPass ha admitido que el ataque que sufrió el pasado mes de agosto de este año 2022 es más grave de lo que pensó en su momento. Desde la compañía han confirmado que los atacantes, todavía no identificados, consiguieron hacerse con las bóvedas de contraseñas de los usuarios de la plataforma, mediante la copia de los archivos cifrados que las contienen.

Así lo han señalado en una actualización emitida el pasado 22 de diciembre, en la que detallan los consejos que deberían tomar los usuarios de la plataforma después del ataque. Ahora, en ella señalan que «algo del código fuente y de información técnica fueron robados de nuestro entorno de desarrollo, y utilizados para atacar a través de otro empleado, obteniendo credenciales y claves que se usaron a su vez para acceder y descifrar algunos volúmenes de almacenamiento en el servicio de guardado basado en la nube».

Estas credenciales permitieron a los atacantes copias información «que contenía información básica de las cuentas de clientes, así como de metadatos relacionados. Como los nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP desde las que los clientes accedían al servicio de LastPass«.

Gracias a esta actualización también se ha conocido que los atacantes también copiaron datos de «las bóvedas de los clientes«, es decir, los archivos en el que los clientes de LastPass almacenan las contraseñas de los servicios de los usuarios. Ese archivo «se guarda en un formato binario propietario que contiene tanto datos no cifrados, como URLs de páginas web, como campos sensibles completamente cifrados, como nombres de usuarios y contraseñas, notas seguras y datos introducidos en formularios«.

Esto quiere decir que los atacantes tienen las contraseñas de los usuarios. Eso sí, las tienen cifradas con «cifrado AES de 256 bits, y solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario».

El consejo de LastPass es que aunque los atacantes tengan ese archivo, los clientes que usen sus configuraciones por defecto no tienen que hacer nada aunque hayan dado estos datos en esta última actualización, ya que «llevaría a los atacantes millones de años adivinar tu contraseña maestra, y eso utilizando la tecnología de crackeado de contraseñas disponibles a nivel general«. Los atacantes tendrían después que deducir la clave que descifra las otras contraseñas, basada en esa contraseña maestra, y descifrarlas una por una. Un proceso que tampoco es rápido ni sencillo.

Dado que una de las medidas por defecto es no reutilizar la contraseña maestra que se requiere para conectarse al servicio y que se utiliza para generar la clave única. De hecho, el servicio sugiere que los clientes generen una clave compleja para acceder al servicio, y que la utilicen única y exclusivamente para acceder a él.

La compañía sí ofrece un consejo a los usuarios de empresa y particulares: «si tu contraseña maestra no hace uso de los consejos por defecto, reducirías de manera significativa el número de intentos necesarios para adivinarla. En este caso, como medida extraordinaria, deberías considerar minimizar riesgos cambiando la contraseña de las webs que tengas almacenadas«. Por tanto, sí sería necesario que cambiasen en este caso no solo la contraseña maestra, sino también la de todas las webs y servicios que tengan su contraseña almacenada en la bóveda de claves de LastPass.

Por su parte, la empresa señala que ha desmantelado los sistemas afectado por la brecha de agosto de 2022 y que ha desarrollado nueva infraestructura, que añade protecciones adicionales a las que ya tenía hasta ahora para afrontar este tipo de ataques.