LastPass introduce el cifrado de URL: la seguridad en línea alcanza un nuevo nivel

LastPass, un popular gestor de contraseñas, ha anunciado que pronto comenzará a cifrar las URL almacenadas en los almacenes de usuarios. Este paso está dirigido a fortalecer la privacidad de los datos y proteger contra fugas y accesos no autorizados.

La implementación de esta nueva característica será un paso significativo hacia la realización de una arquitectura de divulgación cero, lo que significa que incluso LastPass no tendrá acceso a los datos de los usuarios. El cifrado de URL se realizará automáticamente y de manera imperceptible gracias al aumento del rendimiento del hardware moderno.

Históricamente, en 2008, debido a las limitaciones de capacidad de procesamiento, los ingenieros de LastPass decidieron no cifrar las URL para reducir la carga en los procesadores y minimizar el consumo de energía. Con el desarrollo de la tecnología, estas limitaciones ya no son relevantes, y ahora la empresa puede cifrar y descifrar las URL sin retrasos notables en el rendimiento de su producto.

El cifrado de URL es necesario para aumentar la seguridad de los usuarios y cumplir con la arquitectura de divulgación cero. Las URL pueden contener detalles sobre la naturaleza de las cuentas, como bancarias, de correo electrónico o redes sociales. Cifrar estos datos ayudará a mantener su confidencialidad y reducir los riesgos.

En 2022, LastPass enfrentó dos brechas de datos, en las cuales los malintencionados obtuvieron acceso al código fuente, datos de usuarios y copias de seguridad, incluyendo los almacenes de contraseñas cifradas. Aunque el descifrado de estos almacenes requería la contraseña maestra, las brechas incluían URL no cifradas, lo que permitió a los malintencionados atacar específicamente cuentas en servicios financieros.

Algunas contraseñas maestras débiles fueron descifradas, y con ellas se hackearon intercambios de criptomonedas, resultando en el robo de más de $4 millones. Esto además confirma el hecho de que nunca hay demasiado cifrado y, dada la oportunidad, es necesario proteger todos los datos almacenados en servicios sensibles como LastPass.

La implementación del cifrado de URL en LastPass requerirá una revisión de los componentes de cliente y servidor. La primera fase de implementación comenzará en junio de 2024 e incluirá el cifrado automático de los campos principales de URL para todas las cuentas existentes y nuevas. Durante este tiempo, se eliminarán los campos de URL duplicados y obsoletos, y los usuarios recibirán notificaciones sobre los cambios realizados.

La segunda fase del cifrado está planificada para la segunda mitad del año y cubrirá los seis campos de URL restantes, incluyendo dominios equivalentes, URL sustitutivas, URL de redirección, URL personalizadas, URL en notas e URL históricas.

Los usuarios no necesitan tomar ninguna medida, ya que LastPass automáticamente enviará todas las instrucciones sobre cómo utilizar las nuevas funciones cuando el proceso de despliegue entre en una fase activa.