La investigación concluyó que los atacantes no accedieron a datos o claves de los usuarios. ¿Qué riesgos implica esta brecha?
El reciente hackeo a LastPass encaja al dedillo con el célebre refrán “en casa de herrero, cuchillo de palo”. Ocurre que aquel es un servicio diseñado para robustecer la seguridad informática a través del almacenamiento centralizado de contraseñas.
LastPass hackeado: los detalles del incidente
El hackeo a LastPass fue confirmado por el director ejecutivo de esa empresa, Karim Toubba, que en un comunicado dijo: “Descubrimos que un actor no autorizado obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una sola cuenta de desarrollador comprometida y tomó partes del código fuente y cierta información técnica patentada”. El CEO agregó que los productos y servicios de la empresa mantuvieron el normal funcionamiento.
Leé también: Contraseñas seguras: recomendaciones para crearlas y recordarlas
Toubba comentó además que no encontraron pruebas de robo de información por parte de los atacantes. En otras palabras (según el informe oficial) los hackers que accedieron al servicio no se llevaron contraseñas o información de los usuarios.
“En respuesta al incidente, implementamos medidas de contención y mitigación, y contratamos a una firma líder en ciberseguridad y análisis forense. Si bien nuestra investigación está en curso, hemos logrado un estado de contención, implementamos medidas de seguridad mejoradas adicionales y no vemos más evidencia de actividad no autorizada”, concluyó el CEO de LastPass.
¿Qué es LastPass?
- Es un gestor de contraseñas: las almacena en la nube, encriptadas.
- Sirve principalmente para no tener que recordar las numerosas claves que se usan a diario, guardándolas en un depósito centralizado.
- Se lanzó en el año 2008.
- Se ofrece bajo modalidad freemium: es gratis con funciones básicas, y con una suscripción añade características avanzadas.
- Se usa como extensión los diversos navegadores web disponibles en el mercado.
LastPass fue eje de una polémica por rastreo de datos
El año pasado, el investigador de seguridad Mike Kuketz, publicó un informe en el que aseguró haber encontrado rastreadores de datos en LastPass que se usaron con propósitos comerciales.
Leé también: Cómo crear contraseñas fuertes: el nuevo consejo de expertos en seguridad
Esos sistemas de seguimiento (trackers) mostraban a empresas el modelo del dispositivo de los usuarios o si el equipo empleaba datos biométricos. Kuketz recomendó en la ocasión dejar de usar LastPass, según recogió el sitio The Register.
“Recomiendo cambiar el administrador de contraseñas. Hay soluciones que no envían datos de forma permanente a terceros y registran el comportamiento de los usuarios”, dijo en la ocasión el investigador.
Hackeo a LastPass: ¿qué riesgos implica esta brecha de seguridad?
Desde la empresa explicaron que la intromisión se produjo a través de la cuenta de un desarrollador. Esto permite colegir que los atacantes habrían apelado a una técnica clásica: la ingeniería social. LastPass no brindó detalles al respecto, pero se supone que el mencionado desarrollador habría tenido un descuido, abriendo de esa forma un camino para la intrusión.
¿Qué es la ingeniería social, en seguridad informática? Se trata de técnicas de manipulación empleadas por ciberdelincuentes para conseguir información confidencial, accesos, etcétera. En muchos casos, los piratas informáticos se hacen pasar por personas de confianza, servicios técnicos, personal de soporte, etcétera.
Leé también: Se promociona más segura que WhatsApp: Signal reconoció el robo de casi 2.000 números telefónicos
Si bien las contraseñas de los usuarios no se vieron afectadas en la vulneración de LastPass, ese hecho subraya la relevancia de seguir las medidas de seguridad habituales: no solamente usar sistemas de protección, sino también hacer un uso consciente y “despierto” de los sistemas digitales. Es decir, tener una mirada siempre atenta para evitar engaños que muchas veces son de orden técnico y en muchos casos aprovechan descuidos inocentes.