LastPass, el servicio de gestión de contraseñas, ha sido hackeado. Están investigando lo sucedido, pero aseguran que el incidente no ha comprometido las contraseñas ni la información personal de los usuarios.
“Hace dos semanas, detectamos una actividad inusual en partes del entorno de desarrollo de LastPass. Después de iniciar una investigación inmediata, no hemos visto evidencia de que este incidente involucre ningún acceso a los datos del cliente o bóvedas de contraseñas encriptadas,” declara Karim Toubba, director ejecutivo de LastPass.
No es la primera vez que les ocurre. En 2019, los investigadores de seguridad ya descubrieron un importante problema de seguridad como explicaron en Zdnet. En 2020, el servicio se vio interrumpido por una complicación que impedía que los usuarios pudieran iniciar sesión en sus cuentas.
El último incidente se produjo en 2021, cuando, supuestamente, se filtraron las contraseñas maestras de algunos de sus usuarios. Sin embargo, la compañía afirmó que ese hecho no había ocasionado ninguna violación de datos personales, sino que se trataba de un ataque de relleno de credenciales. Una explicación que parece plausible, ya que muchos usuarios recibieron correos electrónicos informándoles de que alguien estaba intentando acceder a sus cuentas.
¿Un ataque que no afecta a los usuarios?
Esta vez no ha sido muy distinto. El CEO de la compañía asegura que “una parte no autorizada obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una sola cuenta de desarrollador comprometida”. Sin embargo, niegan que la información de los usuarios se haya visto comprometida, sino que los ciberdelincuentes tan solo robaron “partes del código fuente e información técnica”, algo que no impide que su herramienta funcione con normalidad.
Para esclarecer los hechos, la compañía ha decidido contratar a una firma líder en ciberseguridad y análisis forense sin identificar. Así que la investigación sigue en curso, pero ya han implementado medidas de seguridad adicionales para evitar que vuelva a ocurrir. Por suerte, Toubba garantiza que ya no hay ninguna “evidencia de actividad no autorizada”.
El administrador de contraseñas cuenta con al menos 20 millones de usuarios, lo que le convierte en uno de los más populares en la actualidad. Con una cifra tan elevada, es normal que la compañía quiera apaciguar a los consumidores. Por ello, en su comunicado han incluido una sección de preguntas frecuentes que trata de tranquilizarles.
En dicha sección, afirman que las contraseñas maestras, los datos o la información personal de los usuarios no se han visto comprometidas. Y es que explican que jamás almacenan ni tienen conocimiento de las claves de sus clientes. Asimismo, aseguran que como el incidente solo ha afectado a su entorno de desarrollo, no hay ningún indicio que apunte al robo de datos o información personal.
Por todo ello, la compañía no recomienda que los usuarios realicen ninguna acción con respecto a sus cuentas. Para terminar, el director ejecutivo dice que actualizarán la información sobre el incidente conforme vayan conociendo más detalles.