Hackean empresa de contraseñas de seguridad

(CNNMoney) -- Nadie está a salvo de los hackers... ni siquiera LastPass, una compañía que almacena las contraseñas de miles de personas.

LastPass les permite a las personas almacenar sus contraseñas en línea para que puedan tener acceso a las mismas usando una sola contraseña maestra.

Sin embargo, parece ser que almacenar todos los huevos en una sola canasta no es tan buena idea, sino por el contrario, un problema.

Este lunes, LastPass anunció que los hackers se infiltraron en su sistema informático y obtuvieron acceso a las direcciones de correo electrónico, recordatorios de contraseñas y versiones codificadas de las contraseñas maestras de la gente.

Así que, mantener todas tus contraseñas en un solo lugar en Internet podría no ser tan buena idea.

LastPass dijo que descubrió el robo digital el viernes. Su investigación aún se encuentra en la fase inicial, pero si LastPass está en lo correcto, los hackers no lograron robar las versiones de texto sin formato de las contraseñas maestras todopoderosas.

Sin embargo, los hackers robaron versiones codificadas de las contraseñas de las personas. Pero si tu contraseña maestra es simple y común, como password123, estos hackers pueden descifrarla en poco tiempo. Los hackers también pueden alquilar fácilmente los servidores de un ordenador y utilizar la potencia de cálculo para descifrar todas las demás.

"Los atacantes parecen tener todo lo que necesitan para empezar el ataque de fuerza bruta sobre las contraseñas maestras", dijo Tod Beardsely, gerente de investigación de la firma de seguridad cibernética Rapid7.

Los hackers también robaron recordatorios de contraseña de los usuarios. Así pues, no tendrás suerte si tu pregunta es algo como: "¿Dónde naciste?" Cualquiera puede descifrarlo si usan registros públicos o cuentas de redes sociales.

¿Cuál es el daño potencial de esto? Los ladrones de identidad pronto podrían tener acceso a información importante, como cuentas de correo electrónico, redes sociales, bancos, registros hospitalarios... todo.

Los expertos en ciberseguridad reaccionaron fuertemente ante las noticias. Durante meses, muchos de ellos han promocionado LastPass y servicios similares como una solución elegante a uno de los molestos problemas actuales de darle seguimiento a múltiples contraseñas.

Mantener la misma contraseña es imprudente y recordar docenas de estas es molesto. Esta tercera opción depende completamente en que confíes en una empresa para protegerlas.

"La mejor práctica estándar recomendada es utilizar un gestor de contraseñas. Es la mejor manera de lidiar con la tragedia de contraseñas", dijo Jon Oberheide, un ejecutivo de la firma de seguridad cibernética Duo Security.

Oberheide dijo que utiliza un mismo gestor de contraseñas. Sin embargo, existe una advertencia. Oberheide no lo utiliza para sus cuentas importantes como Gmail o su banca en línea.

En una publicación de blog, LastPass instó a los usuarios a cambiar rápidamente sus contraseñas maestras. Al igual que lo hacen todas las empresas que sufren ataques cibernéticos, esta le aseguró a los usuarios que: "la seguridad y la privacidad son nuestras principales preocupaciones aquí en LastPass".

David Longenecker, un experto en seguridad cibernética independiente en Texas, se quejó de que LastPass publicó el incidente en un blog público antes de advertirles a sus usuarios que cambiaran sus contraseñas.

"Hubiera preferido que PSA te pidiera directamente que cambiaras la contraseña, en lugar de dejar que te enteraras por medio de los rumores", le escribió públicamente a la empresa en Twitter.

Como siempre, en este último robo de una base de datos de contraseñas, las únicas personas que están protegidas son las que establecen una característica de seguridad adicional: la autenticación de dos pasos, que requiere un mensaje de texto como una segunda contraseña.