Nos llevan años avisando de usar contraseñas seguras, pero ahora eso tampoco funciona
Los robos de datos en LastPass y NortonLifeLock han dejado al descubierto los datos de millones de clientes a los que prometieron seguridad. ¿Queda alguna forma de estar a salvo?
:format(jpg)/f.elconfidencial.com%2Foriginal%2F4ea%2F322%2F614%2F4ea32261493c581f76a3d593d25248a5.jpg)
Usar como contraseña algo tan obvio como tu fecha de nacimiento, el nombre de tu mascota o tu número de teléfono nunca ha sido una buena idea. Lo normal es que las webs de registro te obliguen a buscar claves más rebuscadas que combinen símbolos y números. A veces, los navegadores o sistemas operativos ofrecen crear unas credenciales seguras pero larguísimas, una mezcla casi infinita de caracteres aleatorios imposibles de memorizar. Para rematar todo esto, te sugieren, además, que utilices una distinta para cada web o aplicación en la que te tienes que dar de alta.
Esto ha popularizado el uso de unas herramientas conocidas como llaveros. Básicamente, lo que hacen es almacenar todas tus claves en entorno seguro y cifrado para ofrecerte un acceso directo para que no tengas que andar recordándolas continuamente. En muchos casos, son funcionalidades que vienen integradas en los principales navegadores, como Chrome o Edge (el sustituto de Explorer), o en sistemas operativos como iOS o Android. En otros, tienes que descargar una aplicación aparte. Sea como sea, para acceder a tus claves, basta con utilizar con un código de desbloqueo o usar el reconocimiento facial o lector de huellas dactilares.
En los últimos años, estas soluciones se han presentado como la panacea para que los usuarios tengan credenciales fuertes sin romperse la cabeza. El problema es que ahora también han asaltado algunas de estas cajas fuertes. La empresa de ciberseguridad Gen Digital ha sido la penúltima protagonizar un episodio de este tipo. Tal y como reconocían hace unos días, los datos de cerca de 6.500 clientes de NortonLifeLock, propiedad de este conglomerado, habían sido comprometidos. En concreto, se habían hecho con información personal de los usuarios de su servicio de llavero, Norton Password Manager, después de haber conseguido burlar el control de credenciales de la firma, según adelantó TechCrunch.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F998%2F734%2F7a2%2F9987347a2812ccadcebeaeba5cd1e242.jpg)
Por la información que ha ofrecido la empresa, lo ocurrido habría sido un ataque a sus sistemas, sino que han utilizado lo que se conoce como stuffing: es decir, rellenaron el registro con contraseñas robadas (lo más seguro, en la dark web) y probaron hasta que coincidieron con la llave maestra que abría el cofre en el que estaban el resto de claves. Es algo que, en la mayoría de casos, podría haberse evitado con la autenticación de doble factor, que en este caso era opcional para cada usuario.
Más allá de este caso particular, el problema es que no es ni el primer ni el segundo caso de este tipo. Hace unas semanas, un peso pesado de los llaveros de contraseñas, LastPass, confirmaba un ataque similar. En este caso, habían accedido a sus sistemas de almacenamiento en la nube y, una vez ahí, se hicieron con el botín. Es algo que habría afectado a la práctica totalidad de los 25 millones de usuarios de este servicio.
Contraseñas robadas desde hace meses
"La brecha de LastPass ha sido devastadora. Es un desastre tener una brecha así en la línea de flotación de tu negocio, pero han puesto en peligro más de lo que deberían", comenta Eusebio Nieva, director técnico de Check Point Software para España y Portugal. "Ahora sabemos que en agosto tenían pruebas de lo ocurrido, pero entonces dijeron que solo había habido un problema con información técnica. No fue hasta el pasado 22 de diciembre cuando reconocieron que habían robado también los copias de seguridad con las contraseñas cifradas de sus usuarios".
Dicho de otra forma: los atacantes tuvieron cuatro meses para campar a sus anchas sin que los clientes sospecharan nada de lo que estaba ocurriendo. Eso les ha dejado en una situación en la que lo único que pueden hacer es cambiar todas sus credenciales tan rápido como puedan y cruzar los dedos para que el asunto no haya ido a mayores.
El hackeo a #LastPass ha sido peor de lo esperado:
— ProtAAPP - Protege las AAPP (@ProtAAPP) January 16, 2023
- Han robado todos los vaults de los usuarios.
- No todos los campos se cifraban.
- El re-hasheado de la contraseña con PBKDF2 no se aplicaba lo suficiente.https://t.co/e57dO2yZKb
😱 😱
Además, el caso de NortonLifeLock pone de relieve uno de los problemas más comunes de seguridad en internet: la reutilización de contraseñas. "Cuando roban en alguna web, las van probando en distintos con sitios con bots hasta que alguna consigue entrar, sobre todo, en los sitios más jugosos, como el banco, el correo profesional o los propios llavero. Lo han detectado porque ha habido un gran número de registros incorrectos, ya que la gente es cada vez más consciente y pone una clave distinta para estos gestores", dice Nieva.
Ha habido más casos recientes. En verano de 2021, Passwordstate también vio cómo le robaban los datos de sus clientes, pero con un ataque de distinta naturaleza. En este caso, los atacantes lograron entrar en sus sistemas y, a partir de ahí, enviar una actualización de software malicioso a sus 29.000 usuarios. El método era diferente, pero el objetivo era, una vez más, hacerse con tantas claves como pudieran.
¿Hay forma de estar a salvo?
La pregunta del millón es si hay alguna forma de estar seguro cuando usas algún servicio online. Al menos, sin que eso te suponga memorizar una combinación de letras, números y símbolos sin relación entre sí. "Llevamos años taladrando a la gente con utilizar este tipo de contraseñas, pero al final acaba dando igual la longitud: te pueden levantar las claves de multitud de formas", explica Román Ramírez, especialista en ciberseguridad y organizador de la conferencia sectorial RootedCON. "La contraseña no puede ser el elemento fuerte de seguridad que esté en juego", defiende.
Uno de los mecanismos que más se ha extendido en los últimos años es la autenticación de doble factor, algo que podría haber evitado lo ocurrido con NortonLifeLock, pero que está demasiado lejos de ser la panacea. "Si yo tengo el control del teléfono, que es el peor escenario, tengo en mi mano los SMS, los correos y las aplicaciones y ahí puedo hacer de todo", apunta este experto.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa9d%2F4bd%2Fd3f%2Fa9d4bdd3f82b0bd8b3afc300bdef8596.jpg)
Ramírez también hace hincapié en que, por norma general, los gestores de contraseñas tienen su punto débil en que el usuario no tiene ningún control sobre el paradero de sus datos. Es lo mismo que ocurre, por ejemplo, en el caso de las carteras de criptomonedas, algo que ha propiciado desde robos hasta corralitos. "En el momento en el que delegas el control de almacenamiento, ya no eres el propietario. Si les hackean a ellos, te roban a ti", apostilla este especialista, que recomienda usar lo que se conoce como llaveros fríos, que no son otra cosa que dispositivos físicos donde se guarda esa información.
También sugiere servicios como Keepass2 o Enpass. "Te permiten guardar tus claves en servicios en la nube como Google Drive y One Drive, pero es distinto a conectarte a un servicio que almacena los datos de todo el mundo, que es algo muy jugoso y arriesgado, por muy cifrado que esté", incide este especialista, que lo ilustra así: "En el caso de que tengan tantos datos, merece la pena dedicar tiempo a abrirlo, porque hay millones de usuarios. Si es algo que solo controlas tú, tienen que hacer casi el mismo esfuerzo para un caso particular".
:format(jpg)/f.elconfidencial.com%2Foriginal%2F370%2Faa9%2Fefd%2F370aa9efd9cbb3adce257c381a520f71.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F370%2Faa9%2Fefd%2F370aa9efd9cbb3adce257c381a520f71.jpg)
Sin embargo, las contraseñas tienen los días contados. Tal y como ya explicó este periódico, Apple, Google y Microsoft llevan años explorando con una solución que ha sido bautizada como Passkey. Este método pasaría por establecer una comunicación cifrada entre el navegador que uses y tu dispositivo, de modo que la única forma de acceder sea el acceso biométrico, que no es otra cosa que la identificación facial o mediante huella dactilar. "La idea es muy buena y es hacia donde va el futuro de las contraseñas, pero hay escenarios que me preocupan", explica.
"No me hace gracia que Google o Microsoft se pasen mis claves sin mi permiso explícito. En EEUU, la ley puede obligar a cualquier tecnológica a facilitar datos de sus clientes al estado por cuestiones de seguridad nacional", desarrolla Ramírez, que argumenta que la única forma de estar seguro es combinar biometría, contraseñas largas, complejas y, además, varias autenticaciones. "Es algo muy complicado para el usuario de a pie. Al final, no le puedes decir a la gente que teclee 50 caracteres cada vez que quiera a entrar a un sitio".
Usar como contraseña algo tan obvio como tu fecha de nacimiento, el nombre de tu mascota o tu número de teléfono nunca ha sido una buena idea. Lo normal es que las webs de registro te obliguen a buscar claves más rebuscadas que combinen símbolos y números. A veces, los navegadores o sistemas operativos ofrecen crear unas credenciales seguras pero larguísimas, una mezcla casi infinita de caracteres aleatorios imposibles de memorizar. Para rematar todo esto, te sugieren, además, que utilices una distinta para cada web o aplicación en la que te tienes que dar de alta.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F9c3%2Fcd6%2F8d2%2F9c3cd68d284ac8dd3b6988a870933fb5.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F43a%2Fac2%2F5d0%2F43aac25d09c0c6af73bc4e61f3d343e2.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Faa3%2Fe2d%2Fbda%2Faa3e2dbdab2e078909b9e17a1775b865.jpg)