Hechos clave:
Recientes análisis sugieren que los hackers habrían sustraído cerca de USD 35 millones.
LastPass no ha tomado medidas drásticas para mitigar las posibles consecuencias del hackeo.
Una serie de pérdidas ocurridas durante las últimas semanas encendieron las alarmas de varios especialistas en seguridad y criptografía. Las pistas que los investigadores siguen desde finales del año pasado apuntan a que los hackers, que el año pasado robaron bóvedas de contraseñas a LastPass, un servicio de gestión de claves que almacena su información en la nube, habrían descifrado la forma de conocer el contenido sustraído.
En noviembre de 2022, LastPass informó que su plataforma había sido vulnerada por hackers, quienes se apoderaron de bóvedas que contenía contraseñas cifradas con criptografía y en texto sin formato de más de 25 millones de usuarios. Desde entonces, algunas personas comenzaron a perder sumas de dinero en criptomonedas, vinculadas a claves que estaban resguardadas en LastPass. Entre ellos se halla John Doe, quien, en enero de este año demando a LastPass por la pérdida de USD 53.000 en BTC, como reportó CriptoNoticias.
Desde entonces poco se supo sobre el caso, hasta que Taylor Monahan, fundador y CEO de MetaMask, comenzó a divulgar en redes información relacionada que vinculaba el hackeo con una serie de robos que habían permanecido sin explicación. Según Monahan, al menos 150 personas habrían sido víctimas de recientes robos de más de 1.200 BTC, que en conjunto representan pérdidas de más de USD 32 millones.
El 18 de abril, Monahan identificó un conjunto de robos perpetrados desde diciembre, de más de 5.000 ETH en tokens, NFT, y monedas de 11 redes. Posteriormente, reveló nuevos hallazgos a través de una serie de publicaciones en la plataforma X el 28 de agosto.
En esa oportunidad, mencionó que más de 500 direcciones habían sido vulneradas, por un valor sumado de más de USD 25 millones. Según sus nuevos hallazgos, cada una de las víctimas habría perdido entre USD 400.000 y USD 4 millones (entre julio y agosto), cuyo promedio superó por mucho el de los robos de diciembre a abril, de USD 50.000.
La primera etapa de la investigación de Monahan reveló numerosos robos a través de un procedimiento hasta entonces desconocido. Fuente: @ayvano_ / X
Lo que llamó la atención de Monahan entonces, es que los robos parecían estar dirigidos a personas que tenían mucho tiempo en el ecosistema. «El perfil de la víctima sigue siendo lo más sorprendente», escribió Monahan.
Realmente todos son razonablemente seguros. También están profundamente integrados en este ecosistema, [incluidos] empleados de organizaciones criptográficas acreditadas, VC [capitalistas de riesgo], personas que crearon protocolos DeFi, implementaron contratos y ejecutaron nodos completos.
Taylor Monahan, fundador y CEO de MetaMask.
Tras analizar los hechos, Monahan encontró un punto en común en la serie de robos: LastPass. “A estas alturas también me siento seguro al decir que, en la mayoría de estos casos, las claves comprometidas fueron robadas de LastPass”, aseguró el CEO e investigador.
“La cantidad de víctimas que solo tenían almacenado en LastPass el grupo específico de semillas/claves que fueron drenadas es simplemente demasiado como para ignorarla”, añadió.
LastPass y los puntos de conexión
De acuerdo con un reportaje de KrebsOnSecurity, varios investigadores coincidieron con el análisis de Monahan. Entre estos, Cleave Bax, quien es director de análisis de Unciphered.
Hice mi propio análisis sobre sus datos y llegué a la misma conclusión que informó Taylor. El actor de amenazas movió fondos robados de múltiples víctimas a las mismas direcciones de blockchain, lo que hizo posible vincular fuertemente a esas víctimas.
Cleave Bax, director de análisis de Unciphered.
De hecho, gracias a estas investigaciones independientes, que parten de los datos divulgados por Monahan, se identificaron nuevas víctimas cuyos fondos fueron drenados e intercambiados en exchanges específicos. Además, lograron identificar una dirección de destino, aunque todos se negaron a revelar esta información porque el atacante podría mover los fondos y hacer que su actividad sea más difícil de rastrear.
Algunas víctimas habían acumulado bitcoin desde 2013. Fuente: @ayvano_ / X
Como indica el reportaje, una de las víctimas identificadas, quien perdió una cifra multimillonaria, se identificó como un empleado de Chainalysis, una firma de análisis que colabora con agencias de seguridad estatales para rastrear e identificar ciberdelincuentes. Chainalysis confirmó este hecho, pero la víctima se negó a emitir comentarios.
De nuevo, para los investigadores el punto en común entre estas personas y los múltiples robos es LastPass, pues en todos los casos las vícitimas utilizaron la plataforma para resguardar sus claves.
El equipo de LastPass no ofreció declaraciones respecto a los datos suministrados por los investigadores, pero proporcionó una respuesta a KrebOnSecurity: «El incidente del año pasado sigue siendo objeto de una investigación en curso por parte de las autoridades y también es objeto de un litigio pendiente. Desde el ataque del año pasado a LastPass, hemos permanecido en contacto con las autoridades y seguimos haciéndolo».
Hemos compartido diversa información técnica, indicadores de compromiso (IOC) y tácticas, técnicas y procedimientos (TTP) de actores de amenazas con nuestros contactos policiales, así como con nuestros socios forenses y de inteligencia de amenazas internos y externos en un esfuerzo por intentar y ayudar a identificar a los responsables. Mientras tanto, alentamos a los investigadores de seguridad a compartir cualquier información útil que crean que puedan tener con nuestro equipo de Inteligencia de amenazas comunicándose con securitydisclosure@lastpass.com.
LastPass, empresa para contraseñas claves en la nube.
Las pobres medidas de seguridad de LastPass
En sucesivas actualizaciones sobre el hackeo, LastPass informó a sus usuarios que los atacantes tuvieron acceso a información non-public y bóvedas de seguridad en línea de los usuarios, además de información gleaming sobre el tool de LastPass. En concreto, admitieron que el ataque estuvo dirigido a un ingeniero DevOps que technology una de las cuatro personas con acceso a la bóveda de la empresa.
En este sentido, Dan Goodin, editor senior de Ars Technica, reveló que el ataque se ejecutó a través de una vulnerabilidad conocida de la plataforma Plex, un servidor de contenido audiovisual para streaming. Simplemente, la persona atacada no había actualizado a versiones que integraban un parche para la vulnerabilidad, que le proporcionó al atacante credenciales y contraseñas de numerosos usuarios.
Aquí es donde entra en juego la seguridad de LastPass. Esta compañía utiliza contraseñas maestras para seleccionar y recordar y autocompletar las credenciales de cada sitio net asociado. Según el equipo de la empresa estas contraseñas son tan fuertes que, si un usuario pierde la suya, ni siquiera ellos podrían restablecerla.
Pero, según los expertos citados por KrebOnSecurity, una vez que los delincuentes tienen acceso a los datos de la bóveda, no necesitan interactuar con el sitio net LastPass, debido a que pueden hacer ataques fuera de línea a través de “fuerza bruta”, lo que implica dedicar recursos computacionales para tratar de descubrir las claves a través de millones de intentos por segundo.
LastPass nunca exigió a sus usuarios que actualizaran sus claves
A propósito, Wladimir Palant proporcionó una explicación, a través de una publicación en su blog en diciembre de 2022, sobre la brecha de seguridad de LastPass, que podría dar luces sobre el método que utilizaron los hackers.
Según Palant, un investigador de seguridad y el primer desarrollador de Adblock Plus, la capacidad de los hackers de descifrar las contraseñas depende de dos factores: la complejidad de la clave maestra y la configuración predeterminada que LastPass proporcionó a sus usuarios.
A lo largo del tiempo, LastPass ha tenido distintas configuraciones para sus claves maestras. Antes de 2018, solo exigía 8 caracteres y un número de iteraciones que hoy podrían considerarse muy bajos para evitar un ataque de fuerza bruta. Luego, aumentaron el número de caracteres a 12, pero nunca pidieron a sus usuarios más antiguos que actualizaran sus credenciales para aumentar el nivel de seguridad.
La configuración predeterminada inicial, para usuarios antiguos, exigía entre 1 y 500 iteraciones. En 2013, los nuevos clientes de LastPass recibían 5.000 iteraciones de forma predeterminada. LastPass cambió el valor predeterminado a 100.100 iteraciones en febrero de 2018. Y recientemente, volvió a aumentar esa cifra a 600.000.
Leyenda: EL costo y tiempo que le tomaría a una GPU encontrar una clave que coincida con una contraseña cifrada. Fuente: palant.info.El número de iteraciones es importante porque determina cuántos intentos necesita hacer para tratar de que una clave generada por una computadora coincida con una contraseña cifrada.
El cambio de 2018 fue en respuesta a un informe de error de seguridad que presentó Palant, debido a que algunos usuarios que tenían iteraciones peligrosamente bajas en su configuración de LastPass. » Por razones que se me escapan, LastPass no completó esta migración», escribió Palant.
A una sola GPU le tomaría alrededor de un año descifrar una contraseña de complejidad promedio con 500 iteraciones, y alrededor de 10 años para descifrar la misma contraseña ejecutada a través de 5.000 iteraciones, dijo Palant. Por supuesto, si un atacante tiene mayor poder de cómputo, por ejemplo, el de una granja de minería, este tiempo se reduciría considerablemente.
Lamentablemente, la experiencia de las víctimas del hackeo sacó a la luz esta falla de LastPass. Por esta razón, el consejo de Monahan es cambiar las contraseñas de LastPass de inmediato y migrar los fondos a otras wallets de criptomonedas.