La semana pasada LastPass lanzó un anuncio bomba: tras una brecha en agosto, que llevó a otra brecha en noviembre, los hackers habían puesto sus manos en contraseñas maestras de los usuarios. Y esta no es la primera vez que sucede.

Aunque la empresa insiste en que la información de inicio de sesión sigue siendo segura, algunos expertos en ciberseguridad critican duramente su comunicado, afirmando que la compañía no está siendo todo lo sincera que debiera.

La declaración de LastPass del 22 de diciembre estaba "llena de omisiones, medias verdades y mentiras descaradas", se lee en una entrada del blog de Wladimir Palant, un investigador de seguridad conocido por ayudar a desarrollar originalmente AdBlock Pro, entre otras cosas.

Algunas de sus críticas se refieren a la forma en que la empresa ha enmarcado el incidente y a su transparencia. Por eso acusa a la empresa de tratar de presentar el incidente de agosto, en el que LastPass dice que "se robó parte del código fuente y de la información técnica", como una brecha separada, cuando afirma que en realidad la empresa "no pudo contener" la falla.

También destaca la admisión de LastPass de que los datos filtrados incluían "las direcciones IP desde las que los clientes accedían al servicio LastPass", afirmando que eso podría permitir al actor de la amenaza "crear un perfil de movimiento completo" de los clientes si LastPass registra cada dirección IP que utiliza su servicio.

El conocimiento cero, la gran mentira del gestor de contraseñas 

Otro investigador de seguridad, Jeremi Gosney, escribió un largo post explicando su recomendación de cambiarse a otro gestor de contraseñas. "La afirmación de LastPass de 'conocimiento cero' es una mentira descarada", asevera.

LastPass afirma que su arquitectura de conocimiento cero mantiene a salvo a los usuarios porque la empresa nunca tiene acceso a tu contraseña maestra, que es lo que necesitarían los hackers para desbloquear las cajas fuertes robadas.

Aunque Gosney no discute ese punto en particular, sí dice que la frase es engañosa. "Creo que la mayoría de la gente se imagina su bóveda como una especie de base de datos encriptada donde todo el archivo está protegido, pero no - con LastPass, tu bóveda es un archivo de texto plano y solo unos pocos campos seleccionados están encriptados".

El post de la propia LastPass incluso ha provocado una respuesta de un competidor, 1Password. El miércoles, el principal arquitecto de seguridad de la compañía, Jeffrey Goldberg, escribió un post para su sitio titulado "Ni en un millón de años: Puede costar mucho menos descifrar una contraseña de LastPass".

En él, Goldberg califica de "muy engañosa" la afirmación de LastPass de que se tarda un millón de años en descifrar una contraseña maestra, diciendo que la estadística parece suponer una contraseña de 12 caracteres generada aleatoriamente.

"Las contraseñas creadas por humanos no se acercan ni de lejos a ese requisito", escribe, afirmando que los actores de amenazas podrían dar prioridad a ciertas suposiciones basándose en cómo construye la gente las contraseñas que realmente pueden recordar.

Nadie crea contraseñas de 12 caracteres y las GPU son el enemigo

Por supuesto, la palabra de un competidor debe tomarse con cautela, aunque Palant se hace eco de una idea similar en su post: afirma que el método viral XKCD de creación de contraseñas tardaría unos 3 años en adivinarse con una sola GPU, mientras que algunas contraseñas de 11 caracteres solo tardarían unos 25 minutos en descifrarse con el mismo hardware.

Ni que decir tiene que un actor motivado que intentara acceder a la cámara acorazada de un objetivo concreto probablemente podría utilizar más de una GPU para resolver el problema, lo que podría reducir ese tiempo en varios órdenes de magnitud (incluso segundos).

Deberías cambiar tu contraseña de Twitter después de la nueva filtración masiva de 400 millones de usuarios

LastPass ha afirmado que la mayoría de los usuarios no tendrán que tomar ninguna medida de seguridad tras esta brecha. Palant no está de acuerdo, calificando la recomendación de "negligencia grave".

En su lugar, dice que cualquiera que tuviera una contraseña maestra simple, un bajo número de iteraciones, o que sea potencialmente un "objetivo de alto valor" (alto ejecutivo, político, famoso, etc.) debería considerar cambiar todas sus contraseñas inmediatamente. LastPass no es segura.