LastPass es uno de los gestores de contraseñas más populares en el mundo. Su función principal es facilitar el almacenamiento de claves y el acceso a diversas cuentas como redes sociales, tiendas online, correos electrónicos, entre otros. Sin embargo, recientemente ha sido objeto de una sanción significativa impuesta por la ICO (Oficina del Comisario de Información) en el Reino Unido. Esta información fue divulgada en una comunicación oficial con fecha del 11 de diciembre.
La razón de esta penalización radica en el riesgo que se presentó para los datos de los usuarios. Se trata de una brecha de seguridad que ocurrió en 2022 y que afectó a aproximadamente 1,6 millones de usuarios en el Reino Unido. En concreto, la multa a LastPass UK Ltd ha sido de 1,2 millones de libras (cerca de 1,37 millones de euros, según el tipo de cambio actual).
Multa millonaria a LastPass
Este inconveniente comenzó con un error en un ordenador de un empleado de la empresa en Europa. Un atacante logró comprometer el equipo y sustraer parte del código fuente y datos internos de la compañía. Posteriormente, se dirigió al portátil personal de otro empleado, esta vez en Estados Unidos.
La combinación de estos incidentes tuvo repercusiones significativas, tal como lo afirman desde LastPass. Esto permitió al atacante acceder a una base de datos de LastPass y obtener información personal, incluidos nombres de clientes, correos electrónicos, números de teléfono y las URL de los sitios almacenados.
La situación se agravó, ya que el ataque se dirigió a un empleado en Estados Unidos que poseía acceso a claves de descifrado críticas (uno de los cuatro únicos empleados con este privilegio). Para acceder al equipo, el atacante explotó una vulnerabilidad en una aplicación de terceros. Aunque no se ha confirmado cuál fue la aplicación, se sospecha que fue Plex Media Server, según información de Hack Read.
Una vez que obtuvo acceso, el atacante instaló un keylogger para capturar la contraseña maestra del empleado y robó una cookie de confianza del dispositivo, eludiendo así la Autenticación Multifactor. Un error clave fue que el empleado utilizó la misma contraseña maestra tanto para sus cuentas personales como para las de la empresa, lo que permitió al atacante acceder a claves de Amazon Web Services y a una clave de descifrado para acceder a los datos de los clientes.
Hasta el momento, LastPass no ha emitido una respuesta sobre si apelará esta multa. Cabe mencionar que, tras el incidente de 2022, LastPass ha implementado varias mejoras en su seguridad.
Fallos de seguridad
Desde la ICO, que impuso esta multa a LastPass, afirman que existieron fallos de seguridad significativos que podrían haberse evitado. Indican que LastPass UK Ltd no protegió adecuadamente el sistema, permitiendo el uso de un equipo personal y compartiendo credenciales entre cuentas empresariales.
Es importante destacar que este incidente no comprometió las contraseñas de los usuarios. Como confirmó el CEO de LastPass, Karim Toubba, las contraseñas maestras de los clientes están protegidas mediante un sistema de cifrado de conocimiento cero, lo que significa que la clave maestra solo la conoce el usuario y nunca se almacena en los servidores de LastPass.
Sin duda, esta situación ha servido como lección, no solo para LastPass, sino para cualquier otro gestor de contraseñas que pueda haber incurrido en errores similares. Esto podría abrir la puerta a futuras sanciones para otras empresas por incidentes semejantes. La protección en Internet, ya sea en términos de seguridad o privacidad, es responsabilidad de todos, tanto de los usuarios como de las empresas. Si buscas un servicio alternativo, considera opciones como Bitwarden, 1Password o NordPass.
Al instalar un gestor de contraseñas, asegúrate de elegir uno confiable, seguro y eficaz. Desde RedesZone, recomendamos evitar el uso de gestores de contraseñas en navegadores. Es preferible utilizar software específico, ya que ofrece mayor protección y reduce los riesgos de tener información expuesta en navegadores como Chrome, Firefox o cualquier otro que utilices.
Además de contar con un buen gestor de contraseñas, asegúrate de implementar otras medidas de seguridad, como la autenticación de dos factores, habilitar el uso de huellas dactilares y otros métodos biométricos, y mantener todo actualizado para corregir vulnerabilidades que puedan ser explotadas.
Preguntas frecuentes
¿Han estado en peligro las contraseñas de los usuarios?
Las contraseñas de los usuarios no se han visto comprometidas, ya que la clave maestra no se almacena en los servidores de LastPass.
¿Qué debo hacer si tengo cuenta en LastPass?
La preocupación con este incidente es que, al obtener datos personales como tu nombre o correo electrónico, podrías recibir correos de Phishing que suplantan a LastPass, intentando que ingreses tu contraseña en sitios fraudulentos. Es fundamental mantener la precaución y no facilitar información a los atacantes.
¿Es seguro seguir usando LastPass?
A pesar de este incidente, LastPass sigue siendo un gestor de contraseñas seguro, utilizado por muchas personas y que ayuda a proteger las cuentas en línea.
