Después de tener problemas varios días con mi proveedor de Internet, cuando por fin me fue restablecido el servicio, me he topado con la noticia de que la seguridad de Lastpass ha sido comprometida, o como se suele decir popularmente, Lastpass ha sido hackeado. Algo que obviamente es muy grave, pues este servicio es utilizado por miles de personas diariamente para almacenar sus contraseñas y acceder a sus diferentes cuentas en Internet, y al verse comprometido, la vida digital de muchas personas esta en riesgo. “Afortunadamente” el robo de información a Lastpass no ha sido tan grave, y en su comunicado oficial aseguran que los atacantes no han podido acceder a las contraseñas, sino que solo han podido ver los recordatorios de estas (utilizados en caso de que hayas olvidado tu contraseña).
Sin embargo, uno nunca puede ser demasiado precavido, y siempre es importante llevar a cabo algunas acciones cuando situaciones como estas ocurren, por esta razón, he decidido crear una pequeña guia de lo que deberás hacer para protegerte y asegurarte que ningún tercero gane acceso a tus cuentas, aun si tu contraseña maestra es robada
Lo primordial: Cambiar tu contraseña maestra de Lastpass
Como cada vez que hay un robo de información en algún servicio, es urgente que lo primero que hagas sea cambiar tu contraseña lo más pronto posible, si no lo has hecho, puedes hacerlo desde la Configuración de la cuenta de Lastpass. Para acceder, haz click en el icono de LastPass y ve a Preferencias
Para cambiar tu contraseña de LastPass deberás acceder a la configuración de la cuenta, en LastPass.com
Cuando hayas iniciado sesión en tu cuenta, se te mostrará la siguiente ventana. Ahí deberás hacer click en el botón “Change Master Password“, que aparece debajo de tu dirección de correo electrónico.
Cambiar tu contraseña maestra es algo sencillo una vez has entrado a tu cuenta
Lo que finalmente te llevará a esta página donde podrás cambiar tu contraseña maestra y tu recordatorio de esta, después tendrás que reingresar a tu cuenta con tu nueva contraseña.
Para confirmar el cambio de contraseña, deberás introducir tu antigua contraseña, junto a la nueva y a tu nuevo recordatorio de contraseña.
Y como consejo de seguridad extra, recomiendo cambiar todas tus contraseñas de los sitios web que tuvieras asociados a Lastpass, de preferencia utilizando el generador de contraseñas de LastPass, para crear las contraseñas más seguras posibles.
Mejorar la seguridad de Lastpass
Una contraseña segura puede no bastar para garantizar tu seguridad con LastPass, ya que en la actualidad es poco común que se intente robar cuentas por medio de adivinación de contraseña (ataques de fuerza bruta), si no que se utilizan ataques más complejos que muchas veces involucran robar la información directamente de los servidores del servicio, por lo que si una contraseña segura es tu única forma de protección, serás totalmente vulnerable. Por esta razón, ha ganado popularidad la verificación en dos pasos, que implica verificar por otro medio (frecuentemente un teléfono, aunque también se usan USB y otros dispositivos) que eres tu quien realmente esta iniciando sesión en el servicio.
Activar verificación en dos pasos en LastPass
La verificación en dos pasos en LastPass puede implementarse con varios servicios populares, como Google Authenticator, Microsoft Authenticator, Duo Security, entre otros. Si utilizas LastPass Premium además podrás utilizar YubiKey (dispositivo USB utilizado para comprobar tu identidad), soporte para huella dactilar, y el software Sesame, generador de códigos de un sólo uso ejecutable en dispositivos USB.
Para activar la verificación en dos pasos de LastPass, deberás ir otra vez a Configuración de la cuenta, en Preferencias.
La verificación en dos pasos de LastPass aumenta considerablemente la seguridad de tu cuenta
Para añadir alguno, haz click en el icono del lapíz que se muestra al lado de cada servicio, si quieres saber como agregarlos, haz click sobre el icono de interrogación que también aparece. Por ejemplo, puedes ver como agregar la verificación en dos pasos con Google Authenticator.
Una vez agregado el servicio, aparecerá la palabra “Habilitado” en color verde, lo que significa que hiciste el proceso correctamente, y necesitarás comprobar mediante ese servicio tu identidad cada vez que inicies sesión en tu cuenta maestra de LastPass (más no en los sitios web que tengas almacenados ahí)
Los servicios que hayas habilitado aparecerán con color verde
Restricción por países
Otra opción no muy conocida de LastPass, pero bastante útil es la restricción por países, que bloquea automáticamente el inicio de sesión si no proviene de un país que tu hayas seleccionado.
Para activarla, ve a Configuración de la cuenta, y haz click en el botón “Show Advanced Settings“, que aparece en la parte inferior del menú.
En la configuración avanzada de LastPass encontrarás más opciones para proteger tu cuenta
Al hacer click en el botón, se desplegarán las opciones avanzadas, entre ellas, una llamada “Country Restriction”. Al marcar su casilla, aparecerá una lista de países, los que estén marcados serán aquellos desde donde se podrá acceder a tu cuenta de LastPass.
Puedes bloquear la entrada en países que tu no hayas autorizado. Así aunque conozcan tu contraseña, no podrán entrar en tu cuenta
Cuando hayas terminado, sólo tienes que presionar en Actualizar para efectuar los cambios.
Además, recomiendo agregar un e-mail de seguridad y activar el “Auto-Logoff“ que cerrará tus sesiones abiertas en otros dispositivos al iniciarla en tu computadora.
Pero estas no son las únicas opciones de seguridad extra de LastPass, ya que puedes además seleccionar dispositivos reconocidos, que serán los únicos donde puedas iniciar sesión en caso de que actives la opción, puedes activarlos en la pestaña correspondiente.
Considera utilizar alternativas offline
No hay que olvidar que este problema con LastPass se origina debido a un ataque en sus servidores, lo que quiere decir que otros gestores de contraseñas offline como KeePass nunca contarán con un problema como este.
Sin embargo, el utilizar gestores de contraseñas offline significa prescindir de algunas de las mayores ventajas de LastPass, como la sincronización entre dispositivos, o la integración con navegadores, que hace mucho más cómodo acceder a tus diferentes cuentas en Internet.
Aunque otro punto a considerar es que al utilizar un gestor de contraseñas offline, la seguridad de tus contraseñas será únicamente responsabilidad tuya, y de que tan elevado sea tu nivel de seguridad, lo que puede ser positivo o negativo dependiendo de como sea el usuario.
¿Es necesario utilizar gestores de contraseñas?
Y finalmente una de las preguntas más repetidas desde que se dio a conocer el problema
Por otro lado, uno de los consejos más básicos de seguridad es el de no repetir contraseñas en Internet, algo que se vuelve muy difícil cuando tienes que manejar decenas de cuentas y recordar las contraseñas de todas ellas, siendo ésta una situación donde los gestores de contraseñas pueden ser imprescindibles.
A fin de cuentas, utilizar o no gestores de contraseñas es únicamente tu decisión, sin embargo, es importante que esta decisión sea tomada con la mayor cantidad de información posible, y conozcas los riesgos y ventajas de estos programas antes de usarlos.
Si te gusto el artículo, puedes compartirlo en redes sociales y seguir a Technodyan en Facebook o Google+ ¡Sería un gran apoyo!