- El administrador de contraseñas líder LastPass acaba de sufrir una segunda violación de seguridad este año, pero un experto dice que los administradores de contraseñas aún ofrecen los mejores beneficios de protección.
- Incluso cuando se violan, los administradores de contraseñas tienen esquemas de encriptación complejos que aún pueden protegerlo.
- Los usuarios pueden monitorear su “puntuación de seguridad” para verificar posibles problemas.
A medida que las violaciones de datos se vuelven cada vez más comunes, los expertos en seguridad cibernética sugieren usar contraseñas únicas y complejas para cada sitio. El seguimiento de esas contraseñas puede convertirse rápidamente en una tarea, por lo que los administradores de contraseñas entran en escena para generarlas, almacenarlas y administrarlas con facilidad. Pero, ¿qué hace cuando, irónicamente, su propio administrador de contraseñas sigue experimentando filtraciones de datos?
La semana pasada, el popular administrador de contraseñas LastPass anunció que había sufrido su segunda violación de seguridad de 2022. “Hemos determinado que una parte no autorizada, utilizando información obtenida en el incidente de agosto de 2022, pudo acceder a ciertos elementos de la información de nuestros clientes. ”, escribe el CEO Karim Toubba en una publicación de blog de la compañía, haciendo referencia a un incidente anterior del verano. En ese incumplimiento, una parte no autorizada “tomó partes del código fuente y cierta información técnica patentada de LastPass”.
LastPass ciertamente no es el único administrador de contraseñas al que los piratas informáticos han obtenido acceso de una forma u otra. En abril de 2021, los atacantes entregaron un archivo malicioso a los usuarios de Passwordstate durante una actualización, que extrajo los nombres de usuario, las contraseñas y los nombres de dominio de los clientes. Después de eso, los delincuentes lanzaron una campaña de phishing, fingiendo ser de la empresa matriz de Passwordstate e instando a los usuarios a instalar un parche para protegerse del archivo malicioso, que solo sirvió para promover el ataque original.
Más Contenido del Mecánica Popular
Entonces, ¿debería confiar en los administradores de contraseñas o volver a escribir todos sus inicios de sesión en una hoja de papel suelta?
Kevin Higgins, experto sénior en seguridad cibernética de la empresa de seguridad de redes con sede en Denver Optiv, dice Mecánica Popular que un administrador de contraseñas sigue siendo la mejor opción a pesar de las últimas noticias. “Aunque estos podrían violarse, sigue siendo una de las mejores formas de administrar sus contraseñas personales”.
“Los beneficios de tener una herramienta que puede generar automáticamente contraseñas seguras en su nombre e ingresarlas por usted al navegar a sitios específicos aumenta significativamente la seguridad en esos sitios individuales”, señala Higgins. Además, si estas contraseñas se almacenan de forma encriptada, como lo hace LastPass en sus servidores, las contraseñas siguen siendo bastante fuertes y complejas, “minimizando la posibilidad de que un atacante pueda revertir el cifrado y obtener las contraseñas de texto sin cifrar”.
En las dos infracciones de LastPass de este año, la empresa afirmó que no se tocaron datos de clientes ni bóvedas de contraseñas cifradas. Eso aún plantea la pregunta de qué hacer si ha sido parte de una violación de datos. ¿Y cómo sabes siquiera si has sido parte de uno en primer lugar?
“Al igual que cualquier violación de datos, lo primero que debe hacer es cambiar su contraseña”, dice Higgins. “Ya sea que se haya determinado o no que las contraseñas fueron violadas o no, una vez que cambia su contraseña, la ‘contraseña encriptada’ que tienen los malos actores se vuelve inútil”. Higgins recomienda además una “frase de contraseña fuerte y única para contraseñas, especialmente para un administrador de contraseñas en el que solo necesita recordar esta única contraseña”.
Después de cambiar sus contraseñas, los usuarios deben revisar el “puntaje de seguridad” dentro del panel de seguridad de su administrador de contraseñas y ver qué ajustes se pueden hacer para aumentar su puntaje. “Esto implicaría que se evaluaran las contraseñas que se reutilizan, son débiles o faltan en LastPass”, dice Higgins. “La mayoría de las soluciones de administración de contraseñas tendrán configuraciones similares que ayudarán a los usuarios finales a dar una impresión general de su huella de seguridad en sus credenciales”.
Desafortunadamente, hay momentos en los que es posible que ni siquiera sepa que fue parte de una violación de datos. Higgins dice que una forma rápida de determinar si su dirección de correo electrónico o número de teléfono ha sido violado es usar un sitio popular de agregación de violaciones, como Have I Been Pwned. También hay servicios de monitoreo basados en suscripción para alertar a los usuarios en tiempo real de cualquier situación. Para los usuarios de administradores de contraseñas, Higgins dice que es posible que deba ingresar a su configuración y habilitar funciones especiales para alertas sobre violaciones de datos que involucran su dirección de correo electrónico.
“Tomemos cualquier infracción en serio, aunque hayan declarado ‘no se obtuvieron credenciales’”, dice Higgins. “Cada vez que ocurra una infracción, haga su debida diligencia para proteger sus cuentas que pueden haber sido afectadas por la infracción. [Ensure] esa autenticación multifactor [is in use] y [utilize] contraseñas fuertes y complejas configuradas para cualquier cosa que lo admita, incluido su administrador de contraseñas”.
Tim Newcomb es un periodista que vive en el noroeste del Pacífico. Cubre estadios, zapatillas, equipo, infraestructura y más para una variedad de publicaciones, incluida Popular Mechanics. Sus entrevistas favoritas han incluido reuniones con Roger Federer en Suiza, Kobe Bryant en Los Ángeles y Tinker Hatfield en Portland.
Source link