¿Mentira o exageración? LastPass acusado de falsear anuncios de brechas de seguridad

¡Dicen que la compañía ha mentido todo el tiempo!

Acusan a LastPass de mentir en sus declaraciones
Acusan a LastPass

En este año, la reputación de LastPass ha sufrido mucho, y su manejo de los problemas de seguridad no ha ayudado a mejorar la situación. La semana pasada, la empresa dio una actualización sobre una brecha de seguridad que ocurrió en agosto y reveló que había sido más grave de lo que se había dicho inicialmente.

Sin embargo, el anuncio actualizado de LastPass ha sido duramente criticado por expertos en seguridad, quienes lo han tildado de «lleno de omisiones, medias verdades y mentiras descaradas«.

Acusan a LastPass de mentir en sus declaraciones
Acusan a LastPass de mentir en sus declaraciones

LastPass se enfrenta a acusaciones de engaño sobre brechas de seguridad

Según el experto en seguridad Wladimir Palant ha publicado una crítica severa para la compañía LastPass, acusándola de estar más interesada en salvar las apariencias que en ser transparente.

Analiza detalladamente la declaración más reciente emitida por LastPass, examinándola línea por línea y señalando casos de tergiversación y lo que él llama «omisiones, verdades a medias y mentiras descaradas«.

Palant inicia su crítica afirmando que LastPass intenta presentar sus actualizaciones como actos de benevolencia, cuando en realidad esto es un requisito legal.

En su declaración más reciente, LastPass admitió que los delincuentes pudieron obtener una copia de seguridad de los datos de los cliente del contenedor de almacenamiento encriptado que se almacena en un formato binario patentado que contiene datos no encriptados.

Datos como las URL de los sitios web, así como campos confidenciales completamente cifrados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados en formularios.

Además, Palant señala que:

Tenga en cuenta que LastPass admite no cifrar las URL de los sitios web, pero no las agrupa en «campos confidenciales». Pero las URL de los sitios web son datos muy confidenciales. A los actores de amenazas les encantaría saber a qué tiene acceso. Luego, podrían producir correos electrónicos de phishing bien dirigidos solo para las personas que valen la pena su esfuerzo.

No importa el hecho de que algunas de estas URL tengan parámetros adjuntos. Por ejemplo, LastPass a veces guarda las URL de restablecimiento de contraseña. Y ocasionalmente seguirán siendo válidos.

Palant cuestiona las afirmaciones de LastPass de que los datos de los usuarios están seguros debido a la dificultad de descifrar las contraseñas maestras, ya que la empresa traslada la responsabilidad a los usuarios.

Además, el requisito de contraseñas más largas solo se aplica a las cuentas creadas en los últimos cuatro años, y la afirmación de la empresa de que utiliza una implementación más sólida de lo habitual de 100 100 iteraciones de la Función de derivación de clave basada en contraseña (PBKDF2), un programa de fortalecimiento de contraseñas algoritmo que dificulta adivinar su contraseña maestra, declaración que también es cuestionada.

Palant continua diciendo:

Tenga en cuenta «más fuerte de lo típico» aquí. Me pregunto seriamente lo que LastPass considera típico, dado que 100 000 iteraciones de PBKDF2 son el número más bajo que he visto en cualquier administrador de contraseñas actual. Y también es el nivel de protección más bajo que todavía es (apenas) aceptable en la actualidad.

De hecho, OWASP actualmente recomienda 310.000 iteraciones. LastPass no ha aumentado su valor predeterminado desde 2018, a pesar de que las tarjetas gráficas modernas se volvieron mucho mejores para adivinar contraseñas protegidas con PBKDF2 en ese momento, al menos por un factor de 7.

Hay muchas otras críticas y muchas más condenas a LastPass, especialmente por la sugerencia de la empresa a los usuarios de que «no hay acciones recomendadas que deban tomar en este momento».

Y como era de esperar, esta declaración recibió un duro golpe:

Esto es solo una negligencia grave. Sin duda, hay acciones recomendadas para tomar, y no solo para personas con contraseñas maestras demasiado simples o un número demasiado bajo de iteraciones. Los atacantes suficientemente determinados podrán descifrar los datos para casi cualquier persona. La pregunta es simplemente si vale la pena para ellos.

Por lo tanto, cualquiera que pueda ser un objetivo de alto valor (activistas, disidentes, administradores de empresas, etc.) debería considerar seriamente cambiar todas sus contraseñas ahora mismo. Por supuesto, también podría considerar cambiar a un competidor que, en caso de incumplimiento, estará más preocupado por mantenerlo a salvo que por salvar la cara.

Para leer toda la critica realizada por Wladimir Palant lo puede hacer en su blog oficial.