Hechos clave:
El usuario siguió las recomendaciones de LastPass para establecer la contraseña de su bóveda.
El hacker de LastPass extrajo información inner most de los usuarios de la aplicación.
Un usuario del gestor de contraseñas LastPass, que resguardaba la llave privada de su wallet de criptomonedas en esta aplicación, ahora acusa a la empresa de ser responsable de la pérdida del equivalente a USD 53.000 en bitcoin (BTC).
En agosto del 2022, un hacker fue capaz de robar información inner most de los usuarios de LastPass, una aplicación que funciona como gestor de contraseñas. Según un informe que la compañía publicó sobre el incidente, el atacante obtuvo datos como «direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP de los clientes que tuvieron acceso al servicio de LastPass».
Entre los afectados por este ataque, un usuario en snarl perdió sus ahorros en Bitcoin, ya que guardaba la llave privada de su wallet de criptomonedas en una bóveda de LastPass. Dichas bóvedas están encriptadas con una contraseña maestra. Sin embargo, la empresa admite que, si esta contraseña maestra es débil, igual se corre el riesgo de que un atacante pueda dar con ella por fuerza bruta. En este contexto, aplicar la fuerza bruta consiste en intentar diferentes posibles contraseñas hasta dar con la correcta.
El hacker de LastPass tenía una ventaja para abrir las bóvedas a las que tuvo acceso, ya que también contaba con información inner most de sus dueños que podía darle pistas para averiguar la contraseña correcta.
Demanda colectiva a LastPass por la pérdida de los bitcoins
El 3 de enero de este año se presentó una demanda colectiva a LastPass que acusa a la empresa de ser responsable de la pérdida de USD 53.000 en BTC. El demandante se identifica en el documento como John Doe y hace la demanda a su nombre y a nombre de todos los afectados en situación identical.
El usuario que presenta la demanda asegura que siguió los consejos de LastPass y estableció una contraseña maestra de más de 12 caracteres para guardar la llave privada de su wallet en la bóveda que le ofrece la aplicación. Por lo que considera que LastPass es el responsable, ya que «lo expuso al robo de sus bitcoins».
El demandante también alega que la empresa en cuestión «le expuso a un riesgo continuo» dada la filtración de sus datos personales, cuyas consecuencias provocarle inconvenientes en el futuro. LastPass es objeto de cargos por negligencia, incumplimiento de contrato, enriquecimiento ilícito e incumplimiento de deber fiduciario.
Gestores de contraseñas vs papel
En una sociedad digitalizada que exige el uso de cada vez más plataformas, redes sociales y sitios internet con suscripción, los gestores de contraseñas son herramientas que pueden simplificar bastante la vida de muchos.
LastPass, 1Password y Dashlane son algunos de los gestores de contraseñas más utilizados por los cibernautas. Si bien pueden traer beneficios para quienes quieren facilitar su acceso a una gran cantidad de sitios internet que requieren el uso de contraseñas, también pueden significar un riesgo importante.
A pesar de las medidas de seguridad como la encriptación de datos y la autenticación de dos factores, los hackers siempre buscarán la más mínima grieta por la que puedan tener acceso a las bases de datos centralizadas de este tipo de plataformas.
El usuario que demandó a LastPass pudo haberse ahorrado ese trago amargo si, en vez de confiarle a esta aplicación la llave privada de su wallet, las hubiese guardado en papel fuera del alcance de los ciberdelincuentes.
CriptoNoticias publicó una serie de recomendaciones de ciberseguridad que expuso Pablo Sabatela, fundador y CEO de Defy Education, en el marco de la ETHLatam del 2022. Entre los consejos de Sabatela están el uso de números de teléfono y contraseñas distintas para diferentes aplicaciones, así como evitar instalar softwares crackeados que puedan abrirle la puerta a otro individuo para que gown tus criptomonedas.