Si hace poco veíamos como una plataforma conocida, Plex, comunicaba a sus usuarios que se había dado una brecha en su sistema de seguridad. Ahora ha sido el turno de LastPass. Aunque, en esta ocasión es algo más diferente. Básicamente, porque estamos ante un programa que se encarga de gestionar todas las claves que hayamos ido guardando. Por lo que podría haber sido peor, ya que se podrían haber comprometido grandes datos de muchos usuarios.
Ha sido a través de su propia web, mediante un comunicado oficial en su blog, por donde han querido anunciar el aviso del incidente de seguridad reciente que descubrieron hace dos semanas. Sin embargo, no han querido informar sobre esto antes de contar con más información al respecto. Puesto que, en el momento de descubrir la brecha de seguridad, no sabían del alcance que podría haber llegado a tener.
Qué ha pasado
Como os mencionábamos antes, desde el propio comunicado del programa, conocido por ser un gestor de contraseñas, dejaban claro que hace dos semanas llegaron a detectar una actividad inusual en diferentes partes del entorno del desarrollo habitual de LastPass. En ese momento, comenzaron a llevar a cabo una investigación para constatar si esta intrusión por parte de ciberdelicuentes ponía en peligro a los usuarios, es decir, si habían logrado hacerse con información importante como las contraseñas.
Después de este tiempo, hasta hace unas horas, llegaron a la conclusión de que «terceros» llegaron a tener acceso a distintas partes del entorno de desarrollo de LastPass, y todo fue a través de una sola cuenta de desarrollador. De esta manera, lograron tomar partes del código fuente y cierta información técnica que es patentada por el programa. Y, a pesar de este gran percance, todos sus productos y servicios siguen funcionando con total normalidad. Pero, ¿qué pasa con las contraseñas de los usuarios que utilizan LastPass?
¿Tienes que preocuparte?
Lo mejor de todo es que, a pesar de la brecha de seguridad en LastPass, los usuarios no se han visto afectados según han informado desde su comunicado oficial: «Este incidente no comprometió su contraseña maestra«. En cualquier caso, la empresa ha tomado cartas en el asunto y ya ha implementado medidas de seguridad adicionales. Además, ya están evaluando más técnicas de mitigación con el objetivo de fortalecer el entorno de ciberseguridad.
Sin embargo, la investigación sobre este incidente de seguridad de LastPass está todavía en curso. Y aunque la compañía ha notificado a sus usuarios que, actualmente, no hay ninguna evidencia de que este caso haya involucrado acceso a sus datos o bóvedas de contraseñas encriptadas, nos recomiendan seguir sus prácticas para configurar correctamente LastPass. Como es el caso de usar una clave maestra o configurar la autenticación.
Por el momento queda claro que, según la investigación propia que han llevado a cabo, la arquitectura Zero Knowledge, que garantiza que LastPass nunca pueda saber u obtener acceso a la contraseña maestra de sus clientes, ha sido de gran ayuda. En cualquier caso, queda en nuestras manos cambiar la contraseña para quedarnos más tranquilos y, sobre todo, habilitar la autenticación en dos pasos.