LastPass tranquiliza a sus 33 millones de usuarios, luego del hackeo al asegurar que no es necesario que tomen medidas preventivas. Los ciberdelincuentes robaron solo “partes del código fuente y alguna información técnica propia de la compañía”, sin afectar la información privada de sus usuarios.
LastPass fue hackeado, y confirmó que sus sistemas fueron atacados por ciberdelincuentes que sustrajeron del código fuente información técnica de su propiedad. Según la compañía, las contraseñas de los usuarios no fueron comprometidas por el ataque, gracias al sistema Zero Knoledge que le impide almacenar las credenciales de acceso.
Hace dos semanas, piratas informáticos se infiltraron en el gestor de contraseñas LastPass. Sin embargo, la investigación inicial de la empresa muestra que la penetración sólo afectó a los sistemas internos de la empresa para el desarrollo de software, y no a los datos relativos a las contraseñas de los clientes.
“Hace dos semanas, detectamos una actividad inusual dentro de partes del entorno de desarrollo de LastPass. Después de iniciar una investigación inmediata, no hemos visto ninguna evidencia de que este incidente implicara ningún acceso a los datos de los clientes o a las bóvedas de contraseñas encriptadas.” Dijo Karim Toubba, CEO de LastPass, en un comunicado publicado en el blog de la compañía.
LastPass fue hackeado
LastPass reveló que el ingreso de los ciberdelincuentes se produjo por la vulneración de la cuenta de un desarrollador, pero sus productos y servicios “continúan funcionando con normalidad”.
La firma activó un “estado de contención” que incluye medidas de seguridad adicionales en sus sistemas y contrató a una empresa líder en ciberseguridad y análisis forense.
El analista de seguridad Allan Liska se sorprendió por el tiempo que les tomó informar a sus clientes sobre el incidente.
Liska estima que el alcance del daño tomará tiempo en determinarse, pero cree que el ataque parece no haber afectado a los usuarios de LastPass. La compañía prometió mantener un flujo de información para la tranquilidad de sus clientes.
Así se gestiona una contraseña
Los gestores de contraseñas administran claves seguras para ingresar a cuentas, sitios web o perfiles de usuarios que requieren credenciales de acceso. Aunque navegadores como Chrome ofrecen gestión de contraseñas, los gestores permiten a los usuarios permanecer más tiempo durante su navegación en internet.
Los servicios externos también ofrecen la creación automática aleatoria de contraseñas y alertas de claves poco confiables o filtradas en internet. Durante el primer registro de usuario y clave de acceso a una página, almacenan la información y autocompletan los datos para que el usuario no tenga que reescribirlos. En ciertos casos ofrecen almacenamiento de datos de documentos personales, tales como DNI, pasaporte y licencia de conducir, entre otros.
También mantienen la contraseña maestra almacenada a nivel local o en un servidor cifrado ante una vulnerabilidad o ataque informático dirigido al gestor para quela información de los usuarios no se vea comprometida.
Como norma, se recomienda cambiar la clave de los usuarios de manera periódica y usar varios niveles de autenticación para prevenir accesos remotos no autorizados.