Filtración de datos de LastPass fue en mayor magnitud.
Filtración de datos de LastPass fue en mayor magnitud.
/ LASTPASS
Agencia Europa Press

LastPass ha confirmado que la brecha de seguridad reportada el pasado mes de agosto, mediante la cual se detectó que un tercero había accedido a su entorno de desarrollo, se saldó con el encriptados incluidos en las bóvedas de sus clientes.

MIRA: ByteDance, propietaria de TikTok, reconoce que empleados accedieron a información de periodistas en la app

LastPass es un gestor de contraseñas seguro que almacena todos los nombres de usuario y contraseñas en un entorno protegido, llamado bóveda. Este es el eje central de todos los datos almacenados, de modo que, en cuanto el servicio guarda una contraseña, siemppre la recordará a la hora de iniciar sesión en una página web.

En agosto de este año, este gestor de contraseñas online informó de un incidente de seguridad por el que un actor tercero accedió a su entorno de desarrollo, sin que ello afectase a los datos o a las credenciales guardadas por los usuarios.

Sin embargo, la compañía ha publicado una actualización sobre este caso y ha confirmado que, aunque inicialmente afirmó que no se había visto comprometida la información personal de los usuarios, el atacante sí aprovechó dicha brecha de seguridad para robar parte de su código e información técnica y acceder a información guardada en su servicio de almacenamiento en la nube.

MIRA: ThinkPlatform, el ambicioso proyecto que llevará una fábrica al espacio

De hecho, este actor malicioso no solo accedió a dicha información de los clientes, sino que llegó a realizar una copia de la copia de seguridad existente en la nube. Esta copia de seguridad contenía información básica de la cuenta de los clientes.

Entre los datos robados se encontraban nombres de empresas y de usuarios, direcciones de facturación, direcciones de correo electrónico, números de teléfono y hasta direcciones IP desde las que los clientes accedían al servicio de LastPass, según ha informado en un comunicado.

Por otra parte, la compañía también ha indicado que los piratas informáticos pudieron realizar una copia de la copia de seguridad de los datos de la bóveda de los clientes. Asimismo, pudieron ir accediendo a datos no encriptados como las URL del sus sitios web. No obstante, también tuvo acceso a datos “completamente encriptados” y confidenciales, como los nombres de usuario del sitio web, contraseñas, notas seguras y formularios cumplimentados.

MIRA: Instagram: ya podrás agregar pronombres en español en tu biografía

En este sentido, el gestor de contraseñas ha insistido en que estos campos están cifrados y permanecen protegidos con cifrado AES de 256 bits, un sistema que garantiza que, a pesar de haber sido robados, no se pueden utilizar.

“Solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario”, ha puntualizado, enfatizando que para su desbloqueado es necesaria una clave de cifrado única que depende de la contraseña maestra y que se consigue a través de su arquitectura Zero Knowledge.

Por otro lado, LastPass ha comunicado que “no hay evidencias” de que se haya accedido a ningún dato de tarjeta de crédito sin cifrar, y ha adelantado que su sistema no almacena números completos de tarjetas de crédito. Es más, la información relativa a las tarjetas de los clientes no se archiva en este entorno de almacenamiento de la nube.

MIRA: WhatsApp: ¿en qué celulares ya no funcionará la app a partir del 31 de diciembre?

Así, LastPass ha insistido en que aunque los ciberdelincuentes “intentasen usar la fuerza bruta” para adivinar las contraseñas maestras y descifrar los datos de las bóvedas de los clientes, “sería extremadamente difícil” debido a los métodos de ‘hashing’ y encriptación que utiliza la empresa.

“Probamos rutinariamente las últimas tecnologías de descifrado de contraseñas contra nuestros algoritmos para seguir el ritmo y mejorar nuestros controles criptográficos”, ha detallado el CEO de LastPass, Karim Toubba, que firma este comunicado.

MIRA: Desde la llegada de Musk, Twitter ha perdido a 72 de sus 101 principales anunciantes

Posibles ataques de phishing

Debido a este fallo, Toubba ha alertado a los clientes de que los delincuentes podrían lanzar ataques ‘phishing’ para intentar descifrar los datos robados a los que no puede tener acceso debido al mencionado sistema de protección.

Por eso, ha indicado que la compañía nunca se pondrá en contacto con sus clientes a través de llamada telefónica, correo electrónico o mensaje de texto en los que se les inste a verificar su información personal a través de un enlace.

En cualquier caso, ha animado a sus clientes a cambiar su contraseña maestra actual de LastPass por una nueva y única contraseña. Asimismo, ha indicado que es importante no utilizar bajo ningún concepto ducha credencial en otros sitios web.

MIRA: Cómo recuperar fotos eliminadas de tu celular

En este contexto, Toubba ha manifestado que la empresa está tomando precauciones para evitar ataques de estas características en un futuro. Así, ha subrayado que ha agregado capacidades adicionales de registro y alerta para ayudar a detecta actividades no autorizadas y que ha reforzado los mecanismos de autenticación de los desarrolladores.

Contenido sugerido

Contenido GEC