El hackeo a LastPass la poderosa plataforma mundial de gestión de contraseñas

Los gestores de contraseña han sido una herramienta de enorme valor para millones de usuarios y miles de empresas alrededor del mundo. A sabiendas de que crear mejores contraseña, con mayor longitud, combinación de caracteres, números y signos representa para la memoria humana un verdadero reto cuando se tienen diversas cuentas, estas herramientas representaron una solución que se popularizó rápidamente.

En este tenor LastPass se ha ido consolidando como una de las opciones preferidas por muchos usuarios, por su facilidad de uso y la seguridad que esta solía trasmitir a través de su estrategia publicitaria. Sin embargo en días recientes el propio CEO Karim Toubba ha confirmado actividad ajena al personal oficial del sitio.

 

 

 

Si bien se ha mencionado que los datos de los usuarios se encuentran a salvo y se ha confirmado que la "llave maestra" de toda la información almacenada en sus servidores no ha tenido ninguna clase de manipulación externa, la inestabilidad que generó esta noticia fue notoria entre el mundo informático y la desconfianza hacía la empresa ha ido en ascenso si se analizan las métricas de la tendencia respecto a su reputación previa y posterior al incidente nos encontraremos con una probable migración de sus consumidores hacía otras aplicaciones.

¿Qué lecciones puede dejarnos esta situación? Si bien, considerando el anuncio los clientes de esta plataforma no deberían tomar medidas como cambio de datos personales o de cuentas, sí pueden existir puntos de atención en los cuales centrarnos.

La lección más importante con la cual partimos es que cualquier sitio web, por mayores medidas de seguridad que tome, será proclive a recibir un ataque si este es lo suficientemente efectivo y la seguridad permanente no existe en internet. 

En segunda instancia, si bien la desconfianza es una consecuencia obvia de este incidente no se recomienda prescindir de los gestores de las contraseñas. Ya que estos permiten formular contraseñas con combinaciones más complejas que las que una persona promedio podría recordar.

Finalmente, el que un gestor de contraseña almacene claves de acceso bien elaboradas esto no significa que deban permanecer inmóviles durante años. La recomendación de ir rotando las credenciales es fundamental para mantener una línea de protección de la información aceptable, ya que a pesar de que tengan claves muy extensas, cuando existe una filtración de datos las contraseñas simplemente se copian, por lo que al actualizarlas constantemente, permite evitar que haya acceso ajenos a nuestras cuentas.

 

Los montadeudas y los permisos en las aplicaciones. Un antecedente histórico en México

 La cibercriminalidad en México no suele ser el centro de atención en medios informativos durante la mayor parte del tiempo, a menos que el tema sea de un impacto social o económico de gran magnitud.

Por ejemplo, en años recientes las noticias llegaron a cubrir temas como el ciberataque a Banxico, el ataque de ransomware a PEMEX o el escándalo internacional de espionaje a través del malware Pegasus. Sin embargo, todos estos ejemplos atacaban a sectores de la población muy específicos, los cuales representaban numéricamente una cantidad de personas mínima. Pero ¿qué pasa cuando los objetivos de la cibercriminalidad son los sectores económicamente más vulnerables del país? La respuesta es una cantidad de casos masiva que hacen eco nacional por la modalidad de sus mediáticas maneras de proceder por parte de los cibercriminales.

Naturalmente como el título lo menciona se refiere a las negativamente reconocidas aplicaciones de préstamos que en los últimos 3 años proliferaron por cientos de ejemplos en las tiendas de aplicaciones. Las cuales ofrecían préstamos inmediatos con requisitos mínimos y con la enorme ventaja de que la mayoría ofrecían realizar el trámite sin realizar consulta al buró de crédito, lo que trajo miles de personas interesadas que a través de sus teléfonos cometieron con un total desconocimiento uno de los errores fundamentales que existen en la seguridad de la información: proporcionar voluntariamente tus datos privados ¿el resultado de estas decisiones? Una avalancha de consecuencias de creciente gravedad para las víctimas.

 

 

 

Si bien las policías cibernéticas estatales, comenzaron de manera tenue a advertir sobre los riesgos del uso de estos medios de préstamo desde el año 2020, sus advertencias no fueron lo suficientemente disuasorias y durante el año 2021 la cantidad de casos estaban multiplicándose alrededor de México, hasta contarse por decenas de miles y presentándose en varios estados de considerable importancia en el país como Jalisco, Puebla. Guanajuato, Estado de México y Ciudad de México.

 

Pero ¿qué hacían estas aplicaciones que se consideraban tan peligrosas para quienes cayeran sus víctimas.

Si bien sus tasas de intereses por montos bajos solían multiplicarse hasta más del doble podrían considerarse como usura, práctica permanente entre los círculos prestamistas; esta era solo la fase menos perjudicial de sus actividades.

La verdadera problemática ocurría en los permisos que estas aplicaciones solicitaban para otorgar los microcréditos, los cuales eran variables y podrían ir desde la agenda de contactos, ubicación, acceso a la cámara, galería, aplicaciones de mensajería y SMS. De tal manera, toda la información personal almacenada en un teléfono podría estar al alcance de cibercriminales con distintos objetivos.

 

 

Hasta ahora, algunos perjudicados han narrado distintos tipos de ataques que han recibido, entre los que se recuentan: 

 

 

*Cobros usando violencia verbal o auditiva a través de llamadas

 

*Aumento de los ya altos intereses, inventando nuevos montos de deudas

 

*Cobros a pesar de no existir un préstamo previo, recurriendo a la intimidación

 

*Probable robo de identidad, utilizando las credenciales de información personal almacenadas en el dispositivo

 

*Secuestros digitales, engañando a los contactos del propietario del dispositivo

 

*Instalación de malware de criptominado o de robo de datos financieros

 

*Secuestros del individuo, aprovechando el permiso de geolocalización otorgado 

 

 

Para no extender aun más la presente entrada, se concluirá mencionando que al momento de la redacción se han realizado operativos en Ciudad de México donde más de 90 aplicaciones han sido clausuradas, y las investigaciones para determinar a los responsables han iniciado.

 

En una posterior entrada se mencionarán algunos métodos preventivos que algunos afectados podrían tomar, así como un análisis más profundo sobre el tipo de cibercrímenes que se pueden realizar con la información utilizada.