Hola Elektro. No estaba poniendo en duda tus aportes pero soy novato en esto.
No te preocupes, de todas formas no entiendo en que sentido alguien podría poner en duda lo que he dicho hasta ahora...
Yo no soy ningún especialista en ciber seguridad informática, simplemente cuento lo que sé hasta donde yo sé, y en base a una experiencia personal y real.
No tengo suficiente conocimiento técnico para describir con exactitud el procedimiento que aplican estos hackers para lograr el acceso al contenido de las bases de datos robadas, pero que lo pueden hacer y lo terminan haciendo eso te lo puedo asegurar, por que me ha pasado a mi, y, como te dije, yo usaba 2FA.
si acceden a la base de datos, tus base de datos seguiría cifrada y con tu contraseña maestra, no.
Eso es de forma teórica, sí, y en el comunicado oficial de
LastPass decían básicamente que los usuarios no debíamos preocuparnos por que todos los datos sensibles están cifrados con el algoritmo AES 256 y que solo podría ser descifrado con una clave única de cifrado derivada de la contraseña maestra de cada usuario, pero que eso era imposible por que la contraseña maestra no se almacena por
LastPass y ellos no tienen acceso a la contraseña y blah blah blah...
No quiero entrar mucho en detalles de lo que me sucedió a mi, pero en el periodo post-hackeo de
LastPass usaron e intentaron acceder a varios sitios web con varios de mis usarname/passwords que yo solamente tenia almacenados en
LastPass (bueno, también en el
Password Depot de forma local, pero sé a la perfección que eso nunca se ha filtrado). Y aparte de eso yo tenía datos de una tarjeta VISA ahí especificados en
LastPass, y bueno, prefiero no entrar en detalles pero te puedes hacer una idea de lo que hace un hacker con una VISA y todos los datos de su propietario.
Así que insisto en que al final del día toda esa seguridad que te venden parece ser humo, al menos en esta compañía
LastPass te aseguro que esas supuestas capas adicionales de cifrado y seguridad de aislamiento de contraseñas maestras no serán tan seguras ni tan aisladas como dicen ser, por que misteriosamente el contenido de la base de datos termina expuesto cuando el servidor sufre un ciber ataque en el que roban las bases de datos.
No puedo hablar sobre otras compañías diferentes a
LastPass, pero es que cuando es a ti a quien le sucede esto con un servicio de contraseñas en la nube... una vez y no más, ¿me entiendes?, da igual si se llama
LastPass o
KeePass, con una vez que te suceda algo así es más que suficiente para saber que uno no puede confiar en ese tipo de servicios.
La cuestión es: ¿Estás dispuesto a asumir ese posible riesgo?. Cuando una compañía es considerada 'la número uno', 'la mejor de todas', siempre habrá sofisticadas organizaciones de hackers profesionales intentando día y noche averiguar el modo de penetrar en los servidores, esperando insistentemente hasta que aparezca esa vulnerabilidad de día cero (zero-day) en el sistema de los servidores para que les permita el acceso... y puede que ese día llegue y terminen robando tu preciada base de datos y obteniendo acceso a ella.
Tiene sentido lo que acabo de decir, ¿no?. Ojalá yo hubiese caído en la cuenta de eso mucho antes, entonces me habría parado a pensarlo dos veces antes de usar ese tipo de servicios en la nube.
Quizás podrías buscar otras anécdotas personales de otros usuarios, o ver reviews en trustpilot o cosas así, seguro que buscando encontrarás a personas con experiencias similares a la mía.
Estos son unos comentarios relacionados con el hackeo de
LastPass de 2022:
La autenticación multifactor no proporciona ninguna protección adicional a una bóveda robada. La autenticación multifactor, como sugiere su nombre, es una medida de autenticación adicional que ayuda a evitar que personas no autorizadas inicien sesión en la cuenta de un usuario.
Pero LastPass no fue víctima de un ataque por parte de alguien que iniciara sesión en las cuentas de los usuarios, sino que robaron las bóvedas de los usuarios directamente de sus servidores, y la autenticación multifactor no desempeña ningún papel en el cifrado de esas bóvedas.
También se filtraron metadatos de usuarios no cifrados, por lo que, si no me falla la memoria, sería posible vincular una bóveda a un individuo.
Todo es un riesgo teórico hasta que te sucede a ti.
LastPass descubre que, mientras se encontraba dentro del entorno de almacenamiento basado en la nube de terceros, el actor de amenazas comprometió información básica de la cuenta del cliente de LastPass y una copia de seguridad de los datos de la bóveda del cliente, que incluía datos no cifrados. En otras palabras, los piratas informáticos tenían acceso a las bóvedas de contraseñas de los clientes pero, sin las contraseñas maestras, no tenían los medios para abrirlas.
Sin embargo, esto no eliminó la posibilidad de obtener acceso. Si los usuarios de LastPass se vieron afectados en violaciones de datos anteriores, los piratas informáticos podrían haber intentado usar sus contraseñas comprometidas compradas en la web oscura u otras estrategias de fuerza bruta.
en este caso, LastPass señala públicamente que utiliza PBKDF2 con SHA-256. Sin embargo, la cantidad de iteraciones varía según cuándo y cómo se haya utilizado LastPass, lo que puede afectar los tiempos de descifrado. Dicho esto, no es tan descabellado que se estén descifrando contraseñas, incluso las generadas aleatoriamente y creadas en LastPass.
En este último artículo del que he citado un comentario, además se incluye una tabla que describe el tiempo que podrían haber tardado los hackers en descifrar una contraseña maestra mediante fuerza bruta y teniendo un buen equipo, es prácticamente cuestión de pocos segundos o minutos en muchos casos:
Así que ya ves si son capaces o no de acceder a una base de datos robada a pesar del algoritmo de cifrado y la presencia de una contraseña maestra...
Como ya dije, si el servidor sufre un ciber ataque y roban las bases de datos... ya pueden haberlo cifrado cien veces distintas algoritmo sobre algoritmo y haber aislado las contraseñas maestras en un servidor en el planeta Marte, que al final del día un grupo de hackers especializado sabrá como descifrarlo todo y lo podrá hacer.
Lo mejor en mi opinión es tener un software de almacenamiento local (tipo
Password Depot) y así se evitan mayores problemas. Es que es más seguro en todos los sentidos. Incluso en el peor de los casos si la base de datos local fuese robada, lo más probable es que no fuese un grupo de hackers quien comete el robo de esa base de datos sino una persona individual mediante un troyano o etc, así que al menos las contraseñas y correos y etc no acabarían expuestas de forma global en brechas de seguridad públicas a los ojos de quien sepa encontrarlas, o de forma privada en la dark web para venderlo al mejor postor...
Saludos!