LastPass confirma haber recibido un ciberataque y robo de datos ¡Cuidado!
LastPass, uno de los servicios más usados para gestión de contraseñas, ha enviado una alerta de seguridad a sus clientes donde admite que fue hackeada hace un par de semanas. En la parte positiva, asegura no tener evidencias de que los datos de los clientes o las bóvedas de contraseñas cifradas se hayan visto comprometidas.
El CEO de LastPass, Karim Toubba, ha explicado en el blog oficial que hace dos semanas detectaron signos de actividad inusual en su entorno de desarrollo. Después de ello, la empresa activó el modo de contención, implementó medidas de mitigación, se asoció con una empresa de ciberseguridad y comenzó a realizar una investigación detallada.
Aunque esta investigación está en curso, Toubba dice que no se han detectado señales de acceso a los datos del usuario o bóvedas de contraseñas encriptadas hasta ahora, pero sí robo de datos a la propia compañía, fragmentos del código fuente de LastPass y documentación técnica patentada.
Aunque no se conocen los detalles del ciberataque y del grupo responsable, la compañía ha explicado que una «parte no autorizada» logró obtener acceso a una parte de sus entornos de desarrollo al comprometer una sola cuenta de un programador.
LastPass y el problema del hackeo a estos grandes gestores
Los gestores de contraseñas son una gran solución para manejar los accesos a la gran cantidad de servicios de Internet donde estamos registrados. Este tipo de software reduce los errores humanos en el manejo de las contraseñas, ya que automatiza el proceso de generación y de acceso, evita la problemática del uso de múltiples contraseñas y como resultado también ayuda contra ataques de phishing.
Una de sus grandes ventajas es que el usuario solo necesita recordar una contraseña maestra y el gestor hará el resto. El problema es que si te pillan esta contraseña te puedes dar por muerto, virtualmente. LastPass es una de las mayores empresas de su tipo y dice tener 33 millones de clientes individuales y 100.000 empresas.
Hay que decir que LastPass almacena las contraseñas en «bóvedas cifradas» que solo se pueden descifrar con la contraseña maestra de un cliente a la que ni la misma compañía tiene acceso. Esa es la teoría. La compañía ha sido fuente frecuente de ciberataques en el pasado por los motivos comentados.
En esta ocasión, dicen no tener evidencias de que se haya accedido a las cuentas o que el servicio general haya sido comprometido. En todo caso, hasta que LastPass clarifique por completo la situación, yo cambiaría la contraseña maestra y sobre todo habilitaría la autenticación de dos factores para garantizar que ningún elemento externo acceda a las cuentas.
Otra posibilidad es usar otro tipo de gestor, como algunos de estos alternativos de código abierto y gratuitos. Tienen el mismo problema si por cualquier causa te roban la contraseña maestra, pero, de manera general, siguen siendo mucho más seguros que la propia gestión de usuario.