Los robos de datos en LastPass y NortonLifeLock han dejado al descubierto los datos de millones de clientes a los que prometieron seguridad. ¿Queda alguna forma de estar a salvo?
Usar como contraseña algo tan obvio como tu fecha de nacimiento, el nombre de tu mascota o tu número de teléfono nunca ha sido una buena idea. Lo normal es que las webs de registro te obliguen a buscar claves más rebuscadas que combinen símbolos y números. A veces, los navegadores o sistemas operativos ofrecen crear unas credenciales seguras pero larguísimas, una mezcla casi infinita de caracteres aleatorios imposibles de memorizar. Para rematar todo esto, te sugieren, además, que utilices una distinta para cada web o aplicación en la que te tienes que dar de alta. Esto ha popularizado el uso de unas herramientas conocidas como llaveros. Básicamente, lo que hacen es almacenar todas tus claves en entorno seguro y cifrado para ofrecerte un acceso directo para que no tengas que andar recordándolas continuamente. En muchos casos, son funcionalidades que vienen integradas en los principales navegadores, como Chrome o Edge (el sustituto de Explorer), o en sistemas operativos como iOS o Android. En otros, tienes que descargar una aplicación aparte. Sea como sea, para acceder a tus claves, basta con utilizar con un código de desbloqueo o usar el reconocimiento facial o lector de huellas dactilares. En los últimos años, estas soluciones se han presentado como la panacea para que los usuarios tengan credenciales fuertes sin romperse la cabeza. El problema es que ahora también han asaltado algunas de estas cajas fuertes. La empresa de ciberseguridad Gen Digital ha sido la penúltima protagonizar un episodio de este tipo. Tal y como reconocían hace unos días, los datos de cerca de 6.500 clientes de NortonLifeLock, propiedad de este conglomerado, habían sido comprometidos. En concreto, se habían hecho con información personal de los usuarios de su servicio de llavero, Norton Password Manager, después de haber conseguido burlar el control de credenciales de la firma, según adelantó TechCrunch.
Por la información que ha ofrecido la empresa, lo ocurrido habría sido un ataque a sus sistemas, sino que han utilizado lo que se conoce como stuffing: es decir, rellenaron el registro con contraseñas robadas (lo más seguro, en la dark web) y probaron hasta que coincidieron con la llave maestra que abría el cofre en el que estaban el resto de claves. Es algo que, en la mayoría de casos, podría haberse evitado con la autenticación de doble factor, que en este caso era opcional para cada usuario.