Revista Tecnología

LastPass hackeado: ¿Qué debes hacer ahora?

Publicado el 17 junio 2015 por Technodyan

LastPass hacked

Después de tener problemas varios días con mi proveedor de Internet, cuando por fin me fue restablecido el servicio, me he topado con la noticia de que la seguridad de Lastpass ha sido comprometida, o como se suele decir popularmente, Lastpass ha sido hackeado. Algo que obviamente es muy grave, pues este servicio es utilizado por miles de personas diariamente para almacenar sus contraseñas y acceder a sus diferentes cuentas en Internet, y al verse comprometido, la vida digital de muchas personas esta en riesgo. “Afortunadamente” el robo de información a Lastpass no ha sido tan grave, y en su comunicado oficial aseguran que los atacantes no han podido acceder a las contraseñas, sino que solo han podido ver los recordatorios de estas (utilizados en caso de que hayas olvidado tu contraseña).
Sin embargo, uno nunca puede ser demasiado precavido, y siempre es importante llevar a cabo algunas acciones cuando situaciones como estas ocurren, por esta razón, he decidido crear una pequeña guia de lo que deberás hacer para protegerte y asegurarte que ningún tercero gane acceso a tus cuentas, aun si tu contraseña maestra es robada

Lo primordial: Cambiar tu contraseña maestra de Lastpass

Como cada vez que hay un robo de información en algún servicio, es urgente que lo primero que hagas sea cambiar tu contraseña lo más pronto posible, si no lo has hecho, puedes hacerlo desde la Configuración de la cuenta de Lastpass. Para acceder, haz click en el icono de LastPass y ve a Preferencias

LastPass para Firefox
Después, ve a Configuración de la cuenta, y haz click donde dice “Haga click aquí para configurar su cuenta“, lo que te llevará al sitio web de LastPass.

LastPass configuración

Para cambiar tu contraseña de LastPass deberás acceder a la configuración de la cuenta, en LastPass.com

Cuando hayas iniciado sesión en tu cuenta, se te mostrará la siguiente ventana. Ahí deberás hacer click en el botón “Change Master Password“, que aparece debajo de tu dirección de correo electrónico.

Cambiar contraseña de LastPass

Cambiar tu contraseña maestra es algo sencillo una vez has entrado a tu cuenta

Lo que finalmente te llevará a esta página donde podrás cambiar tu contraseña maestra y tu recordatorio de esta, después tendrás que reingresar a tu cuenta con tu nueva contraseña.

Resetear contraseña de LastPass

Para confirmar el cambio de contraseña, deberás introducir tu antigua contraseña, junto a la nueva y a tu nuevo recordatorio de contraseña.

Y como consejo de seguridad extra, recomiendo cambiar todas tus contraseñas de los sitios web que tuvieras asociados a Lastpass, de preferencia utilizando el generador de contraseñas de LastPass, para crear las contraseñas más seguras posibles.

Mejorar la seguridad de Lastpass

Una contraseña segura puede no bastar para garantizar tu seguridad con LastPass, ya que en la actualidad es poco común que se intente robar cuentas por medio de adivinación de contraseña (ataques de fuerza bruta), si no que se utilizan ataques más complejos que muchas veces involucran robar la información directamente de los servidores del servicio, por lo que si una contraseña segura es tu única forma de protección, serás totalmente vulnerable. Por esta razón, ha ganado popularidad la verificación en dos pasos, que implica verificar por otro medio (frecuentemente un teléfono, aunque también se usan USB y otros dispositivos) que eres tu quien realmente esta iniciando sesión en el servicio.

Activar verificación en dos pasos en LastPass

La verificación en dos pasos en LastPass puede implementarse con varios servicios populares, como Google Authenticator, Microsoft Authenticator, Duo Security, entre otros. Si utilizas LastPass Premium además podrás utilizar YubiKey (dispositivo USB utilizado para comprobar tu identidad), soporte para huella dactilar, y el software Sesame, generador de códigos de un sólo uso ejecutable en dispositivos USB.

Para activar la verificación en dos pasos de LastPass, deberás ir otra vez a Configuración de la cuenta, en Preferencias.

LastPass configuración
Y en la parte superior de la ventana desplegada, haz click en “Multifactor Options“, donde se desplegarán todos los servicios compatibles con la verificación en dos pasos de LastPass.

Lastpass-multifactor

La verificación en dos pasos de LastPass aumenta considerablemente la seguridad de tu cuenta

Para añadir alguno, haz click en el icono del lapíz que se muestra al lado de cada servicio, si quieres saber como agregarlos, haz click sobre el icono de interrogación que también aparece. Por ejemplo, puedes ver como agregar la verificación en dos pasos con Google Authenticator.

Una vez agregado el servicio, aparecerá la palabra “Habilitado” en color verde, lo que significa que hiciste el proceso correctamente, y necesitarás comprobar mediante ese servicio tu identidad cada vez que inicies sesión en tu cuenta maestra de LastPass (más no en los sitios web que tengas almacenados ahí)

LastPass hackeado: ¿Qué debes hacer ahora?

Los servicios que hayas habilitado aparecerán con color verde

Restricción por países

Otra opción no muy conocida de LastPass, pero bastante útil es la restricción por países, que bloquea automáticamente el inicio de sesión si no proviene de un país que tu hayas seleccionado.

Para activarla, ve a Configuración de la cuenta, y haz click en el botón “Show Advanced Settings“, que aparece en la parte inferior del menú.

LastPass hackeado: ¿Qué debes hacer ahora?

En la configuración avanzada de LastPass encontrarás más opciones para proteger tu cuenta

Al hacer click en el botón, se desplegarán las opciones avanzadas, entre ellas, una llamada “Country Restriction”. Al marcar su casilla, aparecerá una lista de países, los que estén marcados serán aquellos desde donde se podrá acceder a tu cuenta de LastPass.

LastPass hackeado: ¿Qué debes hacer ahora?

Puedes bloquear la entrada en países que tu no hayas autorizado. Así aunque conozcan tu contraseña, no podrán entrar en tu cuenta

Cuando hayas terminado, sólo tienes que presionar en Actualizar para efectuar los cambios.
Además, recomiendo agregar un e-mail de seguridad y activar el “Auto-Logoff que cerrará tus sesiones abiertas en otros dispositivos al iniciarla en tu computadora.

Pero estas no son las únicas opciones de seguridad extra de LastPass, ya que puedes además seleccionar dispositivos reconocidos, que serán los únicos donde puedas iniciar sesión en caso de que actives la opción, puedes activarlos en la pestaña correspondiente.

Considera utilizar alternativas offline

No hay que olvidar que este problema con LastPass se origina debido a un ataque en sus servidores, lo que quiere decir que otros gestores de contraseñas offline como KeePass nunca contarán con un problema como este.

KeePass

Sin embargo, el utilizar gestores de contraseñas offline significa prescindir de algunas de las mayores ventajas de LastPass, como la sincronización entre dispositivos, o la integración con navegadores, que hace mucho más cómodo acceder a tus diferentes cuentas en Internet.

Aunque otro punto a considerar es que al utilizar un gestor de contraseñas offline, la seguridad de tus contraseñas será únicamente responsabilidad tuya, y de que tan elevado sea tu nivel de seguridad, lo que puede ser positivo o negativo dependiendo de como sea el usuario.

¿Es necesario utilizar gestores de contraseñas?

Y finalmente una de las preguntas más repetidas desde que se dio a conocer el problema

LastPass hackeado: ¿Qué debes hacer ahora?
de seguridad de LastPass: ¿Necesitas realmente utilizar un gestor de contraseñas?, no hay que olvidar que, aunque facilitan acceder a tus cuentas día a día, utilizar un gestor de contraseñas también significa que sólo necesitan robarte una contraseña (tu contraseña maestra) para poder tomar posesión de todas tus cuentas.
Por otro lado, uno de los consejos más básicos de seguridad es el de no repetir contraseñas en Internet, algo que se vuelve muy difícil cuando tienes que manejar decenas de cuentas y recordar las contraseñas de todas ellas, siendo ésta una situación donde los gestores de contraseñas pueden ser imprescindibles.

A fin de cuentas, utilizar o no gestores de contraseñas es únicamente tu decisión, sin embargo, es importante que esta decisión sea tomada con la mayor cantidad de información posible, y conozcas los riesgos y ventajas de estos programas antes de usarlos.


Si te gusto el artículo, puedes compartirlo en redes sociales y seguir a Technodyan en Facebook o Google+ ¡Sería un gran apoyo!

:)
tus comentarios también serán muy apreciados. Si deseas contactar conmigo, entonces puedes visitar esta página de contacto, los mensajes serán contestados a la brevedad posible.


Volver a la Portada de Logo Paperblog