asd

redaccion@diariodigitalis.com

LastPass advierte: las bóvedas de contraseñas de sus usuarios se han visto comprometidas

LastPass ha revelado que los piratas informáticos han logrado acceder a las bóvedas de contraseñas y a alguna información personal de los usuarios. Sin embargo, la compañía del gestor de contraseña llama a la calma: las claves están encriptadas y sólo podrían descifrarse con la contraseña maestra de cada cuenta.

Ante el incremento en la tasa de robo de credenciales, Los gestores de contraseñas se han convertido en una de las alternativas más seguras, sin embargo, no son completamente inexpugnables. Y si no que se lo digan a los responsables de LastPass, para los que este año no ha sido especialmente positivo.

En agosto empezó todo

En 2022, la firma ya ha experimentado dos incidentes de seguridad. El primero de ellos tuvo lugar en agosto, cuando la compañía informó de que había detectado una “actividad inusual en partes del entorno de desarrollo de LastPass”, pero aseguró que no había ningún motivo para preocuparse: no había indicios que apuntaran a un acceso a los datos de los clientes.

Un mes después, LastPass publicó una actualización en la que aportaban más detalles sobre lo que habían descubierto sobre el incidente. Aparentemente, los actores de amenazas consiguieron usurpar la identidad de un desarrollador de la compañía y acceder al entorno de desarrollo durante 4 días.

No obstante, una vez más, lanzaron un mensaje de tranquilidad. Los ciberdelincuentes no parecían haber inyectado ningún código malicioso. Y aunque lo hubieran hecho, no habría pasado nada ya que el entorno de desarrollo y el de producción están totalmente separados. Además, aseguraban que LastPass no almacena los datos de los usuarios, por lo que difícilmente los piratas informáticos podrían acceder a ellos.

Id bootcamps Banner

A finales de noviembre, la compañía informó sobre una nueva brecha de seguridad derivada de los datos obtenidos en agosto. Los atacantes habían conseguido acceder a la información de algunos clientes que estaba almacenada en un servicio de nube de terceros compartido por LastPass y GoTo. Como siempre, le quitaron hierro al asunto: “Las contraseñas de nuestros clientes permanecen cifradas de forma segura gracias a la arquitectura Zero Knowledge de LastPass dijeron.

Claves comprometidas, pero difíciles de averiguar (salvo los no cifrados)

Pues bien, la cosa no acaba aquí. Hace escasos días, la compañía publicó una nueva actualización con detalles adicionales sobre su investigación. Ahora, todo parece indicar que las consecuencias del incidente podrían ser peores de lo que aseguraban en un primer momento. Y es que el o los actores de amenazas pueden haberse hecho con información de los usuarios al extraer datos relacionados con las cuentas de una copia de seguridad.

“Hasta la fecha, hemos determinado que una vez que se obtuvieron la clave de acceso al almacenamiento en la nube y las claves de descifrado del contenedor de almacenamiento dual, el atacante copió información de la copia de seguridad que contenía información básica de la cuenta del cliente y metadatos relacionados”, explican en su comunicado.

En cuanto a la información robada, hay que señalar que la que más peligra es aquella que no está cifrada, ya que podría ser utilizada para llevar a cabo campañas de phishing y otras malas artes por parte de los ciberdelincuentes.

LastPass comenta que en este grupo se encuentran los nombres de las empresas, nombres de los usuarios, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP. No obstante, aseguran que los datos bancarios de sus clientes no se han visto perjudicados, ya que, para empezar, la compañía no los almacena de ningún modo.

Si los usuarios cuentan con contraseñas seguras, no hay razón para preocuparse

Por otro lado, tenemos los datos encriptados, a los que les resultará más difícil acceder a los actores de amenazas. Aquí es donde se encuentran las contraseñas. La compañía ha vuelto a reiterar que su gestor de contraseñas no almacena las claves de sus clientes, por lo que, en un principio, no habría demasiados motivos para preocuparse.

Dichos datos se mantienen a buen recaudo ya que están protegidos con cifrado AES de 256 bits. Así que, según ellos, “solo pueden descifrarse con una clave de cifrado única derivada de la contraseña maestra de cada usuario utilizando nuestra arquitectura Zero Knowledge”.

La empresa reconoce que los ciberdelincuentes pueden utilizar la fuerza bruta para adivinar la contraseña maestra de los usuarios y acceder a sus bóvedas, sin embargo, para hacerlo con éxito necesitarían una cantidad de tiempo colosal. Aun así, matizan: sería recomendable que los usuarios que no cumplan con sus pautas de creación de contraseñas, cambien sus credenciales a otras más seguras.

Entre otras cosas, desde LastPass aconsejan utilizar al menos 12 caracteres, usar mayúsculas, minúsculas, números y caracteres especiales, no usar información personal, hacer que la contraseña sea fácil de recordar y no usar la misma en distintos sitios web.

Imagen de geralt en Pixabay

Artículos Relacionados

Suscríbete a nuestra newsletter


(Obligatorio)

También te puede gustar

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Suscríbete a nuestra newsletter