LastPass resetea contraseñas tras detectar anomalías de red

Una “anomalía” en el tráfico de red en dos servidores ha provocado que el administrador de contraseñas online LastPass haya notificado a sus clientes la existencia de una brecha de seguridad potencial que les obliga a cambiar inmediatamente sus claves.

Los administradores notaron esta anomalía, que duró unos pocos minutos, en una máquina “no crítica” el pasado martes, según se explica en el blog oficial de la compañía. Por lo general esto significa la actividad de un empleado o un script automatizado ejecutando un proceso, pero LastPass ha decidido “ser paranoico y asumir lo peor: que han accedido de alguna manera a la información almacenada en la base de datos”.

En marzo un investigador de seguridad encontró un error de "cross-site scripting" en la web de LastPass, que ya ha sido subsanado

Después de algunas indagaciones, el equipo descubrió otra anomalía pareja por la que se enviaba más tráfico de la base de datos en comparación con lo que realmente estaba recibiendo el servidor. Al medir la cantidad aproximada, se calculó que era lo suficientemente grande como para haber transferido correos electrónicos de los usuarios junto con los algoritmos “salt y salted”.

Estos bits de información generados aleatoriamente se combinan con una contraseña antes de generar un hash criptográfico y guardarlo en la base de datos. Usar un hash salt hace que sea más difícil para los atacantes forzar una contraseña, al tiempo que amplía el poder de almacenamiento y computación necesario para crear encriptaciones y tablas de búsqueda precalculadas. “Por desgracia no todo el mundo escoge una contraseña maestra que es inmune a los ataques de fuerza bruta”, se lamenta el equipo.

La empresa no tiene mucha información sobre lo que pasó o qué tipo de ataque ha sido utilizado. El servidor telefónico de código abierto Asterisk estaba “más abierto” para aceptar paquetes de lo que era necesario, pero no existen indicios de manipulación, de acuerdo con la compañía. Tampoco hay registros que indiquen una escalada de privilegios para ningún usuario de su base de datos.

LastPass está reconstruyendo los servidores en cuestión y ha comprobado el código fuente del sitio web y los plugins para asegurarse de que no se han modificado. Ahora lanzará PBKDF2 (Password-Based Key Derivation Function) con SHA-256, un conjunto de funciones de hash criptográfico diseñado por la Agencia de Seguridad Nacional de los Estados Unidos, para empezar a almacenar contraseñas hash con una salt de 256 bits.

Con el fin de contrarrestar la amenaza potencial, todo el mundo debe cambiar sus contraseñas maestras y acreditar su identidad mediante el uso de una dirección IP que haya utilizado con anterioridad o mediante la validación de la dirección de su correo electrónico haciendo clic en el enlace enviado a esa dirección.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

2 días ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

3 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

3 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

3 días ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

3 días ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

3 días ago