Entonces, tenemos buenas noticias y malas noticias. La buena noticia es que el intento de pirateo contra LastPass este agosto no resultó en el robo de ningún dato de usuario. ¡Hurra! Sin embargo, permitió a los piratas informáticos robar algunos conocimientos, lo que les permitió apuntar a un empleado de LastPass, a través del cual robaron datos de usuarios. Boo! Ahora, tenemos que elogiar a LastPass por ser transparente en sus propias promesas y compartir la historia a través de una publicación de blog. Si bien es fácil causar sensación aquí, también estamos seguros de que la situación también es difícil para ellos.
Si bien los piratas informáticos no obtuvieron datos en tiempo real, como información actualizada, que los servidores de LastPass almacenan y utilizan en tiempo real, sí obtuvieron las copias de seguridad. Dado que la mayoría de las personas no tienen la costumbre de cambiar sus contraseñas por casualidad, en la mayoría de los casos estas copias de seguridad probablemente contengan información relevante.
La siguiente es una lista de los tipos de información confirmada para ser recuperada:
- Empresa y nombres de usuario
- Direcciones de facturación
- Correo electrónico
- Números móviles
- Direcciones IP
Baste decir que, en algunos casos, el tercero malicioso podría tener en sus manos un paquete completo de datos de usuario. Nada bueno. Pero, ¿qué pasa con los usuarios y contraseñas, los principales tipos de datos que maneja la empresa?
Bueno, esos también fueron robados; sin embargo, permanecen encriptados. Esto significa que gracias a la arquitectura Zero Knowledge de LastPass, los perpetradores no podrán descubrir a ninguno de ustedes hasta que conozcan su contraseña maestra.
¿Qué debo hacer para proteger mi cuenta de LastPass?
En este punto, la llamada a la acción debería ser obvia: ¡cambien su contraseña maestra de LastPass, amigos! Y asegúrese de apegarse a la mejores prácticas relacionadas con las contraseñas que la empresa ha compartido.
Tal como están las afirmaciones ahora, si las usara, los piratas informáticos necesitarían “millones de años” cita tras cita para forzar la fuerza bruta (adivinen qué, pero en términos de TI) sus contraseñas con la tecnología actual.
Otra cosa que debe hacer es estar atento a los intentos de ingeniería social o phishing, incluso si ha cambiado sus contraseñas. A menudo, estos son correos electrónicos o mensajes directos que intentan que les proporcione su información de inicio de sesión, lo que lo presiona a compartir.
Este es su amable recordatorio de que ninguna empresa de renombre lo haría. Si lo hacen, definitivamente deberías cuestionar su respetabilidad. Y un buen medio de interrogatorio es la verificación doble.
Por ejemplo, si, presumiblemente, su banco llama y solicita su información bancaria en línea, intente posponer la llamada para llamar a su banco real, no supuesto, y pregúnteles si lo acaban de llamar para pedir esa información. La respuesta probablemente no sea impactante.
Esta imagen está aquí principalmente con fines irónicos y cómicos, debido a su texto.
Entonces, como este diciembre comienza a sentirse como una repetición del diciembre pasado (cuando los usuarios de LastPass informaron intentos de inicio de sesión extraños), debemos preguntarnos: ¿Qué está haciendo la empresa para evitar futuros contratiempos? Bueno, también fueron transparentes al respecto.
Honestamente, están haciendo lo mejor posible: eliminando todo lo relacionado con los conocimientos técnicos robados y reconstruyendo un sistema completamente nuevo desde cero, con mecanismos mejorados de protección y advertencia.
El CEO de LastPass, Karim Toubba, dijo que no es necesario tomar más medidas en este momento. Incluso llegan a decir que si su contraseña maestra actual cumple con las mejores prácticas antes mencionadas, también puede continuar sin cambiarla.
Pero, aunque la naturaleza de la vida es tal que pocas cosas permanecen constantes en el tiempo, siempre sucede una cosa: más vale prevenir que lamentar. Le recomendamos encarecidamente que se familiarice con la creación de una contraseña segura y utilice ese conocimiento al máximo.