No te preocupes, de todas formas no entiendo en que sentido alguien podría poner en duda lo que he dicho hasta ahora...

Yo no soy ningún especialista en ciber seguridad informática, simplemente cuento lo que sé hasta donde yo sé, y en base a una experiencia personal y real.

No tengo suficiente conocimiento técnico para describir con exactitud el procedimiento que aplican estos hackers para lograr el acceso al contenido de las bases de datos robadas, pero que lo pueden hacer y lo terminan haciendo eso te lo puedo asegurar, por que me ha pasado a mi, y, como te dije, yo usaba 2FA.


Eso es de forma teórica, sí, y en el comunicado oficial de LastPass decían básicamente que los usuarios no debíamos preocuparnos por que todos los datos sensibles están cifrados con el algoritmo AES 256 y que solo podría ser descifrado con una clave única de cifrado derivada de la contraseña maestra de cada usuario, pero que eso era imposible por que la contraseña maestra no se almacena por LastPass y ellos no tienen acceso a la contraseña y blah blah blah...

No quiero entrar mucho en detalles de lo que me sucedió a mi, pero en el periodo post-hackeo de LastPass usaron e intentaron acceder a varios sitios web con varios de mis usarname/passwords que yo solamente tenia almacenados en LastPass (bueno, también en el Password Depot de forma local, pero sé a la perfección que eso nunca se ha filtrado). Y aparte de eso yo tenía datos de una tarjeta VISA ahí especificados en LastPass, y bueno, prefiero no entrar en detalles pero te puedes hacer una idea de lo que hace un hacker con una VISA y todos los datos de su propietario.

Así que insisto en que al final del día toda esa seguridad que te venden parece ser humo, al menos en esta compañía LastPass te aseguro que esas supuestas capas adicionales de cifrado y seguridad de aislamiento de contraseñas maestras no serán tan seguras ni tan aisladas como dicen ser, por que misteriosamente el contenido de la base de datos termina expuesto cuando el servidor sufre un ciber ataque en el que roban las bases de datos.

No puedo hablar sobre otras compañías diferentes a LastPass, pero es que cuando es a ti a quien le sucede esto con un servicio de contraseñas en la nube... una vez y no más, ¿me entiendes?, da igual si se llama LastPass o KeePass, con una vez que te suceda algo así es más que suficiente para saber que uno no puede confiar en ese tipo de servicios.

La cuestión es: ¿Estás dispuesto a asumir ese posible riesgo?. Cuando una compañía es considerada 'la número uno', 'la mejor de todas', siempre habrá sofisticadas organizaciones de hackers profesionales intentando día y noche averiguar el modo de penetrar en los servidores, esperando insistentemente hasta que aparezca esa vulnerabilidad de día cero (zero-day) en el sistema de los servidores para que les permita el acceso... y puede que ese día llegue y terminen robando tu preciada base de datos y obteniendo acceso a ella.

Tiene sentido lo que acabo de decir, ¿no?. Ojalá yo hubiese caído en la cuenta de eso mucho antes, entonces me habría parado a pensarlo dos veces antes de usar ese tipo de servicios en la nube.

---

Quizás podrías buscar otras anécdotas personales de otros usuarios, o ver reviews en trustpilot o cosas así, seguro que buscando encontrarás a personas con experiencias similares a la mía.

Estos son unos comentarios relacionados con el hackeo de LastPass de 2022:





En este último artículo del que he citado un comentario, además se incluye una tabla que describe el tiempo que podrían haber tardado los hackers en descifrar una contraseña maestra mediante fuerza bruta y teniendo un buen equipo, es prácticamente cuestión de pocos segundos o minutos en muchos casos:

• https://www.hivesystems.com/blog/examining-the-lastpass-breach-through-our-password-table

Así que ya ves si son capaces o no de acceder a una base de datos robada a pesar del algoritmo de cifrado y la presencia de una contraseña maestra...

Como ya dije, si el servidor sufre un ciber ataque y roban las bases de datos... ya pueden haberlo cifrado cien veces distintas algoritmo sobre algoritmo y haber aislado las contraseñas maestras en un servidor en el planeta Marte, que al final del día un grupo de hackers especializado sabrá como descifrarlo todo y lo podrá hacer.

Lo mejor en mi opinión es tener un software de almacenamiento local (tipo Password Depot) y así se evitan mayores problemas. Es que es más seguro en todos los sentidos. Incluso en el peor de los casos si la base de datos local fuese robada, lo más probable es que no fuese un grupo de hackers quien comete el robo de esa base de datos sino una persona individual mediante un troyano o etc, así que al menos las contraseñas y correos y etc no acabarían expuestas de forma global en brechas de seguridad públicas a los ojos de quien sepa encontrarlas, o de forma privada en la dark web para venderlo al mejor postor...

Saludos!

A lo mejor todo puede parecer "exagerado" visto desde el exterior, pero eso solo es mientras tú no eres la víctima.

Advertir de un posible riesgo, riesgo más que realista y demostrado al utilizar este tipo de servicios no es una exageración, es sentido común. Y desde aquí animo a la gente a seguir el mismo ejemplo cuando alguien les pregunte si es buena idea usar Keepass o LastPass o cualquier otro. Simplemente para que conozcan el riesgo, por que con las cosas de comer no se juega, como se diría en mi país.


Que sean hackeados o no, a mi entender es cuestión de tiempo hasta que los grupos organizados de hackers descubran la vulnerabilidad que se lo permita.

Esto son varios artículos sobre una misma vulnerabilidad de Keepass en el año 2023:

KeePass Exploit Allows Attackers to Recover Master Passwords from Memory:

• https://thehackernews.com/2023/05/keepass-exploit-allows-attackers-to.html

KeePass vulnerability allows attackers to access the master password

• https://www.malwarebytes.com/blog/news/2023/05/keepass-vulnerability-allows-attackers-to-access-the-master-password

KeePass v2.54 fixes bug that leaked cleartext master password:

• https://www.bleepingcomputer.com/news/security/keepass-v254-fixes-bug-that-leaked-cleartext-master-password/

KeePass Memory Leakage Vulnerability Analysis — CVE-2023–32784

• https://tutorialboy.medium.com/keepass-memory-leakage-vulnerability-analysis-cve-2023-32784-35064aef311e

Seguro que si me pongo a buscar noticias de vulnerabilidades o filtraciones de cualquier otro de estos servicios, también habrá algo.

Ah, y a todo esto hay que sumarle los incidentes menores que todas estas compañías OCULTARÁN DE FORMA DELIBERADA para evitar generar alarmismo en sus clientes.

O a lo mejor estoy "exagerando" también con esto.

---

Pero, en serio, ¿no te sería suficiente con que robasen tus datos una vez, que estarías dispuesto a seguir depositando tu confianza en esa compañía dando la posibilidad de que pueda ocurrir otro incidente y te vuelvan a robar?. Como se nota que opinas así por que no has sido víctima de uno de esos ataques.

De todas formas, ¡es que ha pasado más veces!.

ChatGPT:


Wikipedia:

• https://en.wikipedia.org/wiki/LastPass

Timeline of the latest LastPass data breaches:

• https://www.csoonline.com/article/574291/timeline-of-the-latest-lastpass-data-breaches.html

LastPass:
12-22-2022: Notice of Security Incident

• https://blog.lastpass.com/posts/notice-of-recent-security-incident

03-01-2023: Security Incident Update and Recommended Actions

• https://blog.lastpass.com/posts/security-incident-update-recommended-actions

EDITO:
The LastPass Data Breach (Event Timeline And Key Lessons)

• https://www.upguard.com/blog/lastpass-vulnerability-and-future-of-password-security

⬆️ Este incidente fue posterior al hackeo del 2022.

PD: Solo he invertido unos pocos minutos en buscar esto, no sé si se recopilarán todos los incidentes habidos o me faltará alguno más.

Saludos!

Para un paranóico de la seguridad (como yo me considero), insisto en que sería más prudente utilizar un software local diferente a KeePass, uno que sea poco conocido.

La cuestión es que, alguien que accidentalmente se infecte de un malware, debería tener en consideración que dicho malware podría estar diseñado con algoritmos automatizados de búsqueda para identificar y obtener (robar) los datos y archivos conocidos de programas muy populares como por ejemplo KeePass, sencillamente por que es muy, muy popular y entonces por estadística habrá muchas más probabilidades de que una persona tenga instalado KeePass en su PC, de que tenga instalado un programa llamado "Total Password Manager" del año 2001 (me acabo de inventar el nombre).

Así que, por pura lógica, esta posibilidad - no descartable - de infectarse con un malware que tenga funcionalidades integradas para rastrear programas específicos y robar sus datos y archivos se debería ver drásticamente reducida si utilizamos un software que sea mucho menos popular, un programa que probablemente los desarrolladores de malware no hayan tenido en consideración precisamente por un desconocimiento del mismo debido a la falta de popularidad del programa.

Por enfocar este asunto desde otra perspectiva, siempre han habido muchos tutoriales, unidades de código / scripts y herramientas gráficas o por línea de comandos tanto gratuitas como comerciales con funcionalidades que son prácticamente accesibles por todas las personas para obtener los logins de los navegadores más populares como Firefox y Chrome, sin embargo para el navegador Opera ya será menor la difusión de herramientas para obtener logins, y para los navegadores Pale Moon, Waterfox y K-Meleon entre otros puede que haya pocas recursos y documentación o absolutamente nada (no lo sé a ciencia cierta, solo estoy poniendo un ejemplo) por que son mucho menos populares que los navegadores anteriores.

Esto quiere decir que si alguien utiliza el programa más popular del momento, sea cual sea, para resguardar sus contraseñas, esa persona será más propensa a sufrir un robo de datos de ese programa en caso de infectarse por malware, por que los desarrolladores de malware se centrarán más en idear y mantener actualizados algoritmos automatizados para atacar los programas más utilizados, en vez de desarrollar algoritmos para atacar programas "obsoletos", creo que para llegar a estas conclusiones que acabo de exponer solo es necesario aplicar una lógica simple (que no simplista) y para nada es una exageración lo que estoy diciendo.

En ese sentido considero Password Depot una opción ideal, por que además de ser poco conocido es bonito (en color claro u oscuro), cumple a la perfección su función y aporta la seguridad necesaria para sentirnos completamente seguros.

En la siguiente reseña clasifican a Password Depot en el puesto 42 de un ranking de 50:

• https://www.safetydetectives.com/best-password-managers/password-depot/

A eso me refiero por ser un programa poco conocido, aunque mejor sería decir de poco uso o de menor adopción que el resto.

Tengan en cuenta que yo solo menciono este programa por que es el que uso desde siempre (he llegado a usar otros gestores locales, pero ya no recuerdo ni los nombres que tenían), nunca me ha dado problemas y por eso lo recomiendo, pero habrá muchos otros gestores locales de contraseñas igual de "desconocidos" que seguramente se podrían recomendar de la misma forma.

¡Un saludo!.

Me consideras alguien que exagera, pero yo creo que por tu parte estás intentando minimizar la importancia y la magnitud de las cosas.

Yo he contado mi experiencia personal, la cual solamente afecta a un sujeto, sí, pero los afectados por ese ataque a LastPass se contarán por miles, como mínimo, y si sumamos a todos los afectados en general de este y otros servicios similares a lo largo de los años pues... calcula.


Yo no he dicho que un programa poco conocido no pueda ser vulnerado, sino que es bastante menos probable que un algoritmo malicioso destinado a realizar ataques automatizados dirigidos a software común esté pensado para vulnerar un programa poco conocido.

Si tú utilizases un programa muy poco conocido para almacenar las contraseñas de forma local, y digamos que por ejemplo ese programa guarda un archivo de base de datos con extensión '.xyz', es menos probable que al infectarte con un malware que integre funcionalidades para ubicar y robar bases de datos de contraseñas de programas conocidos, este sepa localizarlo e identificarlo, no por que no exista la manera, sino por que lo más probable es que ese algoritmo no esté preparado (es decir, que no se haya implementado la funcionalidad necesaria) para buscar la extensión de archivo '.xyz' ni romper la seguridad de ese programa tan poco conocido.

Dicho de otro modo: Un malware de estas características estará diseñado para atacar el software más conocido porque tiene mayor alcance y rentabilidad. Si el software utiliza formatos y extensiones menos comunes, es menos probable que esté en el radar de ese malware.

Negar algo así es negar lo evidente, Daniel.

Y hablo de probabilidades en todo momento.


Entonces, y sin intención de pecar de arrogancia, permíteme cuestionar la profesionalidad de esos supuestos expertos en seguridad informática, al menos en el contexto de utilizar un gestor de contraseñas local. No es necesario ser un gurú en ciberseguridad ni tan siquiera tener conocimientos informáticos para reconocer la evidencia que he expuesto.


Efectivamente. Esta es la seguridad necesaria para que un usuario se pueda sentir seguro al utilizar un gestor de contraseñas local:

 - Que permita establecer una contraseña maestra.
 - Que los datos estén cifrados (en el caso de Password Depot, con AES 256).
 - Que permita realizar y restaurar copias de seguridad.

Si quieres, cambia la palabra 'necesaria' por 'esencial', por que en realidad pensaba en eso, en lo que (yo) considero lo más básico y esencial para sentirse seguro.

Todo se puede perfeccionar, evidentemente, y un programa puede ofrecer características adicionales, pero lo esencial es que tenga al menos eso que he mencionado.

Y que un software sea poco conocido o que a ti te transmita sencillez o mediocridad eso no significa que sea ineficiente a la hora de llevar a cabo su función de proteger datos sensibles.

¡Saludos!.