¡Café colombiano! Easy Solutions, la compañía caracterizada por la plataforma de la Protección Total contra Fraude®, dio a conocer su visión acerca del reciente ataque ocurrido a LastPass.
Recientemente, la compañía de administración de contraseñas, notificó a sus usuarios a través de una publicación, haber sido blanco de un ataque que accedió a sus direcciones de correo, contraseñas maestras cifradas, a las palabras y frases de recordatorio que el servicio pedía a los usuarios crear para esas contraseñas maestras.
We will be notifying all users via email of our recent security incident: https://t.co/rnEniIziJO
— LastPass (@LastPass) junio 15, 2015
“En general, no somos fanáticos de herramientas de administración de contraseñas. Si bien brindan comodidad, un repositorio central de cualquier información sensible siempre va a llamar la atención de los hackers. De cierta forma, puede resultar mejor guardar este tipo de datos encriptados de contraseñas localmente en una hoja en su oficina”. Afirmó David López, director de Ventas para Latinoamérica de Easy Solutions.
La buena noticia para los usuarios, es que los hashes robados fueron muy bien encriptados. Así mismo, LastPass notó que tiene protecciones criptográficas dispuestas en esas contraseñas maestras, incluyendo funciones “hashing” y “salting” diseñadas para hacer que sea casi imposible romper las contraseñas protegidas. Esto debería ser suficiente para proteger a casi todos sus usuarios, especialmente para aquellos que no han realizado una adecuada protección de sus contraseñas; como por ejemplo, usar contraseñas simples o aquellas reutilizadas de otros sitios que aún pueden ser vulnerables.
Adicionalmente, LastPass ofrece doble factor de autenticación en sus servicios, lo cual ayudará a minimizar el impacto de esta violación. Esto sirve como recordatorio de que la autenticación multifactorial es un enfoque efectivo para minimizar el impacto de una fuga sobre los usuarios finales. Este tema puede llegar a ser incómodo para los usuarios, pero la seguridad siempre estará al otro lado de la comodidad y la usabilidad en la balanza. “Los usuarios deberían incentivar esta opción e incluso exigir que sus proveedores de servicios en la nube “impongan el doble factor de autenticación sobre ellos”, Agregó David López. De esta forma, incluso si sus contraseñas son robadas, la cuenta relacionada no podrá ser comprometida.