LastPass confirma que la brecha de seguridad se saldó con el robo de datos encriptados de las bóvedas de sus clientes

Redacción

LastPass ha confirmado que la brecha de seguridad reportada el pasado mes de agosto, mediante la cual se detectó que un tercero había accedido a su entorno de desarrollo, se saldó con el robo de datos encriptados incluidos en las bóvedas de sus clientes.

LastPass es un gestor de contraseñas seguro que almacena todos los nombres de usuario y contraseñas en un entorno protegido, llamado bóveda. Este es el eje central de todos los datos almacenados, de modo que, en cuanto el servicio guarda una contraseña, siemppre la recordará a la hora de iniciar sesión en una página web.

En agosto de este año, este gestor de contraseñas ‘online’ informó de un incidente de seguridad por el que un actor tercero accedió a su entorno de desarrollo, sin que ello afectase a los datos o a las credenciales guardadas por los usuarios.

Sin embargo, la compañía ha publicado una actualización sobre este caso y ha confirmado que, aunque inicialmente afirmó que no se había visto comprometida la información personal de los usuarios, el atacante sí aprovechó dicha brecha de seguridad para robar parte de su código e información técnica y acceder a información guardada en su servicio de almacenamiento en la nube.

De hecho, este actor malicioso no solo accedió a dicha información de los clientes, sino que llegó a realizar una copia de la copia de seguridad existente en la nube. Esta copia de seguridad contenía información básica de la cuenta de los clientes.

Entre los datos robados se encontraban nombres de empresas y de usuarios, direcciones de facturación, direcciones de correo electrónico, números de teléfono y hasta direcciones IP desde las que los clientes accedían al servicio de LastPass, según ha informado en un comunicado.

Por otra parte, la compañía también ha indicado que los piratas informáticos pudieron realizar una copia de la copia de seguridad de los datos de la bóveda de los clientes. Asimismo, pudieron accediendo a datos no encriptados como las URL del sus sitios web. No obstante, también tuvo acceso a datos «completamente encriptados» y confidenciales, como los nombres de usuario del sitio web, contraseñas, notas seguras y formularios cumplimentados.

En este sentido, el gestor de contraseñas ha insistido en que estos campos están cifrados y permanecen protegidos con cifrado AES de 256 bits, un sistema que garantiza que, a pesar de haber sido robados, no se pueden utilizar.

«Solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario», ha puntualizado, enfatizando que para su desbloqueao es necesaria una clave de cifrado única que depende de la contraseña maestra y que se consigue a través de su arquitectura Zero Knowledge.

Por otro lado, LastPass ha comunicado que «no hay evidencias» de que se haya accedido a ningún dato de tarjeta de crédito sin cifrar, y ha adelantado que su sistema no almacena números completos de tarjetas de crédito. Es más, la información relativa a las tarjetas de los clientes no se archiva en este entorno de almacenamiento de la nube.

Así, LastPass ha insistido en que aunque los ciberdelincuentes «intentasen usar la fuerza bruta» para adivinar las contraseñas maestras y descifrar los datos de las bóvedas de los clientes, «sería extremadamente difícil» debido a los métodos de ‘hashing’ y encriptación que utiliza la empresa.

«Probamos rutinariamente las últimas tecnologías de descifrado de contraseñas contra nuestros algoritmos para seguir el ritmo y mejorar nuestros controles criptográficos», ha detallado el CEO de LastPass, Karim Toubba, que firma este comunicado.

POSIBLES ATAQUES DE ‘PHISHING’

Debido a este fallo, Toubba ha alertado a los clientes de que los delincuentes podrían lanzar ataques ‘phishing’ para intentar descifrar los datos robados a los que no puede tener acceso debido al mencionado sistema de protección.

Por eso, ha indicado que la compañía nunca se pondrá en contacto con sus clientes a través de llamada telfónica, correo electrónico o mensaje de texto en los que se les inste a verificar su información personal a través de un enlace.

En cualquier caso, ha animado a sus clientes a cambiar su contraseña maestra actual de LastPass por una nueva y única contraseña. Asimismo, ha indicado que es importante no utilizar bajo ningún concepto ducha credencial en otros sitios web.

En este contexto, Toubba ha manifestado que la empresa está tomando precauciones para evitar ataques de estas características en un futuro. Así, ha subrayado que ha agregado capacidades adicionales de registro y alerta para ayudar a detecta actividades no autorizadas y que ha reforzado los mecanismos de autenticación de los desarrolladores.

Las + leídas