Si usas LastPass, es probable que los atacantes tengan una copia de tu bóveda y todas tus contraseñas.

Cambiar tu contraseña maestra ahora no ayudará, ya que ya tienen una copia que puede ser desbloqueada con tu antigua contraseña.

Antecedentes:
LastPass, un conocido gestor de contraseñas, fue hackeado recientemente y se robaron todas las contraseñas almacenadas por el servicio. Los hackers consiguieron obtener una copia de seguridad de los datos de los clientes del servicio, que contenía datos sensibles y, por supuesto, las contraseñas, aunque estaban cifradas. El 22 de diciembre, LastPass anunció en el blog oficial que se había producido una intrusión no autorizada: los hackers consiguieron obtener una copia de seguridad que contenía “datos no cifrados como URLs de sitios web y todos los datos sensibles cifrados como nombres de usuario, contraseñas, pistas de seguridad y datos de autocompletado de formularios”.

¿Qué hacer?

1.) Deja de usar LastPass.
No sabemos cuán grave es la situación. Es posible que los atacantes sigan teniendo acceso. Así que no cambies simplemente tus contraseñas y las guardes de nuevo en LastPass. Primero nos ocuparemos manualmente de las cuentas urgentes y luego configuraremos un nuevo gestor de contraseñas.

2.) Si tienes activos virtuales y frases semilla en tu LastPass, debes ocuparte de esto absolutamente de inmediato.
Crea nuevas carteras, escribe las frases semilla SOLO en un papel y transfiere todos tus activos a las nuevas carteras.
No pierdas tiempo buscando una solución perfecta para la custodia, porque es tiempo que no tienes. Si el atacante tiene acceso a tus frases semilla, puede robar tu patrimonio en cualquier momento y no podrás revertirlo. Asegura primero tu patrimonio y piensa más tarde en una custodia a largo plazo.

3.) Cambia tus contraseñas para intercambios y otros productos financieros.
Anota tus contraseñas en un papel por ahora. Utiliza una contraseña diferente para cada intercambio.

Activa 2FA y asegúrate de que el código 2FA no esté almacenado en LastPass. Si lo está, elimina 2FA y configúralo de nuevo en otra aplicación.

4.) Cambia las contraseñas de tus cuentas de correo electrónico.
Cualquiera que tenga acceso a tus correos electrónicos puede acceder a tus otras cuentas a través de los mecanismos de “contraseña olvidada”, así que asegúrate de que tus correos electrónicos sean seguros. Una contraseña única por servicio, escríbelo en papel, utiliza 2FA, que no esté guardado en LastPass.

5.) Cambia también las contraseñas y 2FA de tus cuentas de Apple iCloud y Google.
Estas cuentas probablemente pueden acceder a los datos en tu iPhone/Android a través de copias de seguridad y sincronizaciones en la nube y posiblemente bloquearte, así que cámbialas lo más rápido posible.

6.) Ahora que has protegido tus datos más importantes, configura un nuevo gestor de contraseñas.
Considera 1Password/Bitwarden/Keepass. Nuestro favorito es Keepass. También hemos publicado un vídeo sobre esto.

Configúralo con una nueva y fuerte contraseña maestra. Guarda tus nuevas contraseñas en este gestor. ¡Sin frases semilla! Son demasiado críticas para un gestor de contraseñas en línea.

7.) Ahora que tienes un nuevo gestor de contraseñas, deberías usarlo para cambiar las contraseñas de todas tus cuentas no críticas.
Sí, todas.
Probablemente tienes muchas, así que prioriza las más importantes. Cuentas de trabajo, almacenamiento de archivos/fotos, redes sociales.

8.) Recientemente publicamos el vídeo “Passwordless”. Asegúrate de verlo, porque esto (token de seguridad USB) ayuda a que algo así no vuelva a suceder.