LastPass confirma graves daños por brecha de seguridad. ¿Qué debés hacer para resguardar tus datos?
La empresa de seguridad informática LastPass confirmó que la brecha de seguridad reportada en agosto, mediante la cual se detectó que un tercero había accedido a su entorno de desarrollo, se saldó con el robo de datos encriptados incluidos en las bóvedas de sus clientes.
LastPass es un gestor de contraseñas que almacena todos los nombres de usuario y contraseñas en un entorno protegido, llamado bóveda. Este es el eje central de todos los datos almacenados, de modo que, en cuanto el servicio guarda una contraseña, siempre la recordará a la hora de iniciar sesión en una página web.
En agosto este gestor de contraseñas en línea informó de un incidente de seguridad por el que un tercero accedió a su entorno de desarrollo, sin que ello afectase a los datos o a las credenciales guardadas por los usuarios.
Sin embargo, la compañía publicó una actualización sobre este caso. Aunque había afirmado que no se había visto comprometida la información personal de los usuarios, confirmó que el atacante aprovechó esa brecha de seguridad para robar parte de su código e información técnica y acceder a información guardada en su servicio de almacenamiento en la nube.
De hecho, este actor malicioso accedió a esa información de los clientes y llegó a realizar una copia de la copia de seguridad existente en la nube. Esta copia de seguridad contenía información básica de la cuenta de los clientes.
Entre los datos robados se encontraban nombres de empresas y de usuarios, direcciones de facturación, direcciones de correo electrónico, números de teléfono y hasta direcciones IP desde las que los clientes accedían al servicio de LastPass, según informó la empresa en un comunicado.
Acceso a datos encriptados
La compañía indicó que los piratas informáticos pudieron realizar una copia de la copia de seguridad de los datos de la bóveda de los clientes. También accedieron a datos no encriptados como las URL de sus sitios web.
También tuvo acceso a datos "completamente encriptados" y confidenciales, como los nombres de usuario del sitio web, contraseñas, notas seguras y formularios cumplimentados.
El gestor de contraseñas insistió que estos campos están cifrados y permanecen protegidos con cifrado AES de 256 bits, un sistema que garantiza que, a pesar de haber sido robados, no se pueden utilizar.
"Solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario", puntualizó la compañía, que enfatizó que para su desbloqueo es necesaria una clave de cifrado única que depende de la contraseña maestra y que se consigue a través de su arquitectura Zero Knowledge.
LastPass comunicó que "no hay evidencias" de que se haya accedido a ningún dato de tarjeta de crédito sin cifrar, y adelantó que su sistema no almacena números completos de tarjetas de crédito. La información relativa a las tarjetas de los clientes no se archiva en este entorno de almacenamiento de la nube.
LastPass insistió en que, aunque los ciberdelincuentes "intentasen usar la fuerza bruta" para adivinar las contraseñas maestras y descifrar los datos de las bóvedas de los clientes, "sería extremadamente difícil" debido a los métodos de "hashing" y encriptación que utiliza la empresa.
Recomendaciones desde LastPass
"Probamos rutinariamente las últimas tecnologías de descifrado de contraseñas contra nuestros algoritmos para seguir el ritmo y mejorar nuestros controles criptográficos", dijo el director general ejecutivo de LastPass, Karim Toubba, en el comunicado.
Debido a este fallo, Toubba alertó a los clientes que los delincuentes podrían lanzar ataques de "phishing" para descifrar los datos robados a los que no puede tener acceso debido al sistema de protección.
Indicó que la compañía nunca se pondrá en contacto con sus clientes a través de llamada telefónica, correo electrónico o mensaje de texto en los que se les inste a verificar su información personal a través de un enlace.
Animó a sus clientes a cambiar su contraseña maestra actual de LastPass por una nueva y única contraseña. Indicó que es importante no utilizar bajo ningún concepto esa credencial en otros sitios web.
Toubba manifestó que la empresa tomaría precauciones para evitar ataques de estas características en un futuro. Subrayó que se agregaron capacidades adicionales de registro y alerta para ayudar a detecta actividades no autorizadas y que se reforzaron los mecanismos de autenticación de los desarrolladores.