LastPass admitió una nueva brecha de seguridad a menos de seis meses de haber reportado una trasgresión a sus servidores. La compañía aseguró que ninguno de los dos incidentes afectó a los usuarios. Esto es un recordatorio de que los gestores de contraseñas no son tan seguros como se podría pensar.
LastPass ha sido hackeada por segunda vez en seis meses. La compañía dijo en un blog que supo por primera vez de la brecha el martes y ha estado trabajando con las fuerzas de seguridad y expertos en seguridad para investigar la brecha.
En una entrada de blog publicada el miércoles, LastPass admitió haber sufrido un incidente reciente, en el que un hacker pudo acceder a “ciertos elementos” de la “información de los clientes”. ¿Qué tipo de información? No está claro. Sobre esta situación, el director general de la compañía, Joe Siegrist, escribió que no cree que los hackers hayan robado las contraseñas maestras de los usuarios como parte de este ataque. El ejecutivo aseguró que “decenas de millones” de hashes de alta seguridad serían demasiado intensivos para descifrarlos, incluso para una supercomputadora. Sin embargo, Siegrist no dijo si alguna información del usuario fue realmente robada.
LastPass fue hackeada, de nuevo…
Con respecto a la nueva transgresión, Joe Siegrist admitió que algunos datos encriptados pueden haber sido comprometidos. Ello, debido a la forma en que LastPass almacena sus datos. Es decir, las versiones encriptadas de los datos sensibles de los usuarios se almacenan localmente en sus dispositivos mientras están conectados. Cuando cierran la sesión o el navegador, esas copias encriptadas se eliminan del almacenamiento local y luego se suben de nuevo a los servidores de LastPass, donde se pueden descifrar cuando se necesiten más adelante.
El gestor de contraseñas gratuito ya ha sido hackeado dos veces en 2022, y los ejecutivos no saben qué información de los clientes fue robada.
LastPass afirma que ninguna de las contraseñas de los clientes se vio afectada por el incidente. “Las contraseñas de nuestros clientes permanecen encriptadas de forma segura gracias a la arquitectura Zero Knowledge de LastPass“. Pero, como dije al principio, la compañía tampoco está totalmente segura de qué información de sus clientes estuvo a la vista de los transgresores (y presumiblemente robada) .
“Estamos trabajando diligentemente para entender el alcance del incidente e identificar a qué información específica se ha accedido“, escribió el director ejecutivo de LastPass, Karim Toubba, en el blog.
Los gestores de contraseñas son menos seguros de lo que crees
Como he dicho antes y volveré a decir, es importante recordar que los gestores de contraseñas no son a prueba de balas. Son tan seguros como los puntos finales a través de los cuales se accede a ellos: el ordenador, el teléfono o la tableta. Si alguien consigue acceder a uno de estos dispositivos, puede robar todas tus contraseñas.
Si LastPass puede ser hackeado dos veces en seis meses con relativamente poco esfuerzo, entonces es razonable que otras herramientas populares puedan sufrir destinos similares.