El día 25 de agosto del presente año, uno de los servicios de gestión de contraseñas más populares en el mundo, LastPass, confirmó haber sido víctima de un incidente de seguridad que resultó en el robo de cierto código fuente e información técnica patentada de la aplicación.
Se sospecha que la brecha de seguridad ocurrió hace dos semanas, apuntando a su entorno de desarrollo. No se tiene evidencia de que los responsables del hecho hayan accedió a los datos de los clientes ni a las contraseñas cifradas, solo al código fuente e información técnica, como se mencionó anteriormente.
«Una parte no autorizada obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una sola cuenta de desarrollador comprometida y tomó partes del código fuente y parte de la información técnica patentada de LastPass«, dijo el CEO de LastPass, Karim Toubba.
En medio de la investigación en curso sobre el incidente, la compañía dijo que ha contratado los servicios de una firma líder en ciberseguridad y forense, y que ha implementado contramedidas adicionales para evitar que este tipo de hechos se vuelvan a ocurrir.
LastPass, sin embargo, no ha ofrecido más detalles sobre las técnicas de mitigación exactas que utilizó para fortalecer su entorno de desarrollo. También reiteró que el robo no tuvo ningún impacto en las contraseñas maestras de los usuarios, y agregó que no hay evidencia de más actividades maliciosas.
LastPass es una de las compañías de administración de contraseñas más grandes del mundo, que afirma ser utilizada por más de 33 millones de personas y 100.000 empresas. Aunque, también ha presentado una bajada de clientes de manera visible, luego de que su servicios pasara a ser de pago, dejando a los usuarios con versiones gratuitas a tener que emigrar a otras plataformas de gestores de contraseñas seguras, como Bitwarden.
A medida que los usuarios y las empresas utilizan el software para almacenar sus contraseñas de forma segura, siempre existe la preocupación de que si la empresa fue comprometida, podría permitir a los actores de amenazas el acceder a las contraseñas almacenadas y de allí, entrar a los entornos, tecnologías y servicios personales de los empleados y/o personas naturales.
Sin embargo, LastPass almacena las contraseñas en «bóvedas cifradas« que solo se pueden descifrar utilizando la contraseña maestra del cliente.
El año pasado, LastPass se vio envuelta un ataque de relleno de credenciales que permitió a los actores de amenazas confirmar la contraseña maestra de un usuario. También se reveló que las contraseñas maestras de LastPass fueron robadas por actores de amenazas que distribuyen el malware, RedLine Stealer.
Debido a este tipo de incidentes, es recomendable (por no decir, OBLIGATORIO) el uso del segundo factor de autentificación en las cuentas (2FA/MFA), en especial si dichas credenciales pueden dar pie de entrada a plataformas confidenciales de sus clientes o sus redes sociales. Sí se desea más seguridad, utilizar llaves físicas (cómo la Yubikey) podría marcar una diferencia enorme en este aspecto en concreto.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
