LastPass ha tenido un historial complicado en materia de seguridad durante los últimos años. Si alguien nos preguntara «¿Qué gestor de contraseñas recomiendas?», seguramente sería la última opción de la lista. Lo malo es que la compañía vuelve a estar en el centro de atención tras confirmarse una nueva brecha de seguridad.
De acuerdo con TechCrunch, la brecha no ocurrió directamente en LastPass, sino en Klue, una plataforma que la empresa utiliza en sus operaciones comerciales. Según el reporte, los atacantes aprovecharon el acceso a Klue para obtener tokens OAuth que la plataforma almacenaba en nombre de sus clientes, incluido LastPass.
Con esas credenciales, los hackers lograron entrar en el entorno de Salesforce de LastPass y extraer datos de sus usuarios. La información comprometida incluye nombres, números de teléfono, direcciones de correo electrónico y direcciones físicas, junto con datos de casos de soporte al cliente y registros relacionados con ventas. Tras detectar la presencia de atacantes en su sistema, Klue notificó a LastPass sobre el incidente.
Lo que todavía no está claro es el contenido exacto de los tickets de soporte al cliente. Ese tipo de registros suele contener fragmentos de información sensible, ya que los usuarios generalmente contactan con soporte cuando tienen problemas de facturación o necesitan recuperar el acceso a sus cuentas. Incidentes anteriores con datos de tickets de soporte han llegado a exponer credenciales y documentos de identidad oficiales.
LastPass ha declarado que la brecha de Klue no afectó a sus sistemas en ningún momento. Las contraseñas almacenadas en las bóvedas de los usuarios permanecen seguras, y no hay evidencia de que los atacantes accedieran a datos relacionados con la plataforma Gong, otra herramienta integrada con Klue.
LastPass no sale bien parada de este episodio
La reputación de LastPass lleva tiempo acumulando golpes. En 2022, la compañía sufrió una brecha mucho más grave en la que los atacantes se hicieron con todas las bóvedas cifradas de contraseñas de sus clientes. Aunque esos archivos estaban protegidos con las contraseñas maestras de cada usuario, los hackers consiguieron descifrar algunas de ellas que usaban claves débiles y las aprovecharon para acceder a billeteras de criptomonedas.
Este nuevo incidente es menos catastrófico en comparación, pero tiene sus propias implicaciones. Tener tu nombre, teléfono y dirección en manos de atacantes es suficiente para convertirte en objetivo de phishing o ingeniería social. LastPass lo reconoce en su comunicado oficial y recomienda a sus usuarios estar alerta ante cualquier contacto no solicitado, ya sea por email, teléfono u otros canales.
Otro detalle que vale la pena recordar es que nadie de LastPass te pedirá jamás tu contraseña maestra. Si recibes un mensaje solicitándola, independientemente de cómo esté redactado, es una señal de alarma.
Según el reporte, el responsable del hackeo es un grupo de extorsión llamado Icarus, que también ha atacado a otras compañías a través de la brecha en Klue. El grupo ya amenazó con publicar los datos robados si no recibe un pago por rescate. Klue, por su parte, aún no ha confirmado cuántos clientes se han visto afectados ni si ha habido contacto con los atacantes.
LastPass confirmó que han remediado el problema y los tokens OAuth expuestos han sido rotados desde entonces. «Los productos, servicios e infraestructuras de LastPass no se vieron afectados de ninguna manera y las bóvedas de clientes siguen siendo seguros», mencionó.
Seguir leyendo: LastPass vuelve a estar en la mira tras un hackeo que filtró datos de sus usuarios