¿Quién protege a los guardianes de contraseñas? El pasado 13 de septiembre, el popular generador de contraseñas LastPass anunció que había arreglado una falla que permitía la exposición de contraseñas de usuarios de la extensión en los navegadores Google Chrome y Opera. No se reportaron incidentes de víctimas, pero el hecho de descubrir un bug en el centro mismo de un “cofre de contraseñas” es otra importante alerta sobre la complejidad de la gestión de seguridad de credenciales.
En resumen, el escenario (hipotético) de exposición de los datos ocurriría así: un usuario ingresaría su contraseña de LastPass en algún sitio y luego, al visitar un segundo sitio —malicioso— su contraseña sería capturada, ya que la extensión sería engañada al ingresar una contraseña que se había utilizado con anterioridad.
El problema lo descubrió Google el 29 de agosto a través de la iniciativa Project Zero que está focalizada en encontrar vulnerabilidades zero-day (fallas graves y consideradas urgentes, que pueden ser silenciosamente exploradas por hackers), y entonces Google alertó a LastPass.
En el aviso oficial, LastPass dijo que el error había sido subsanado y que todas las extensiones del generador ya habían sido actualizadas en la versión 4.33.0. Sin embargo, si se tienen las actualizaciones automáticas deshabilitadas, es muy importante verificar, por supuesto.
El comunicado oficial de LastPass también brindó a los usuarios recomendaciones para reforzar las buenas prácticas de seguridad y protección a la hora de la navegación. La primera y principal no es una sorpresa: estar atento a los phishings. Finalmente, esas páginas falsas y/o invadidas son las que llevan a la captura de los datos en un caso como este.
Y, aunque un generador de contraseñas sea muy recomendado (¡y no debe dejarse de lado!), debemos notar que, en los días que corren, se tornan imprescindibles otras capas y formas de protección para las contraseñas. Esas recomendaciones fueron, incluso, señaladas también por la propia LastPass.
Asimismo, otras buenas prácticas de protección son: la utilización de la autenticación de dos factores (2FA) y, por supuesto, concientizarse de no utilizar la misma contraseña en más de un sitio. Como ya hemos dicho antes por aquí, es gracias a la práctica del credential stuffing (que es el uso delictivo de los llamados checkers) que se descubren los sitios y aplicaciones donde los delincuentes pueden utilizar las credenciales filtradas. Algunos de esos checkers prueban listas con millones de credenciales filtradas contra cientos de servicios digitales, como compañías aéreas, tiendas en línea, etc.
Es básico considerar el comportamiento humano a la hora de evaluar formas de proteger a sus consumidores contra los variados —y cada vez más sofisticados— actos delictivos en línea. Esto se debe al hecho de que la ciberdelincuencia es experta en utilizar recursos psicológicos, como la ingeniería social asociada a personificaciones o el uso indebido de una marca.
Aunque sea un punto discutible, ya que el crimen cibernético se da fuera del ambiente de la empresa, se entiende que esta debe ser responsable por proteger a sus usuarios siempre que estos crean que se están relacionando con su marca.
Veamos un ejemplo práctico (y bastante común): un grupo de delincuentes lanza un ataque masivo para la captura de credenciales y utiliza un perfil falso en una red social que utiliza su marca.
Es posible que ese evento sea interpretado como una falla de la empresa en la protección de su presencia digital, y por ende, se apliquen sanciones previstas en la ley GDPR (General Data Protection Regulation) y las leyes de protección de datos locales. Por cierto, la GDPR, ya aplicó una multa millonaria a British Airways en 2019.
Otra gran filtración de este año fue la del banco norteamericano Capital One, que afectó a 106 millones de personas. Lo llamativo y destacado de este caso fue que, incluso antes del hallazgo de los datos, se vieron instrucciones para el acceso a la falla hospedadas en el repositorio GitHub, lo que hizo pública, de manera muy clara, la incapacidad de la empresa para monitorear su footprint digital.
¿Qué nos dice esto sobre un caso como el de LastPass? Que existe una relación intrínseca entre el buen desarrollo de las aplicaciones/códigos, y el monitoreo de las informaciones que pueden exponer los datos sensibles que una empresa debe proteger. Parece obvio, pero toda protección es imprescindible, y la gestión de riesgos debe abordar todas las etapas de un proceso delictivo en línea.
Es un hecho: hablar de filtraciones de contraseñas puede provocar escalofríos en cualquier persona. Por ello, una buena recomendación para asegurarse de que sus preciadas credenciales no sean expuestas es MiContraseña.
El sitio posee una base compuesta por grandes y microfiltraciones (estas últimas más espontáneas y diarias) y, además de señalar cuáles contraseñas fueron filtradas —con tarjetas, para seguridad— también alerta en caso de futuros incidentes. Es posible, incluso, verificar filtraciones de credenciales corporativas y la cantidad de incidentes de un mismo dominio.
Y, si tiene interés en proteger la presencia digital de su empresa, también puede ser interesante contar con recursos de monitoreo más fuertes: Axur One brinda protección 24x7 contra riesgos digitales, a través del uso de miles de BOTs y técnicas de inteligencia artificial. Conozca la solución que encuentra filtraciones de datos de clientes, y Threat Intelligence para monitorear movimientos delictivos en la deep y dark web.