LastPass suele ser uno de los administradores de contraseñas más populares que existen junto a 1PassWord; ambas herramientas suelen estar entre las mejores aplicaciones para la gestión de usuarios y contraseñas, no solo por su facilidad de uso y apariencia, o por la seguridad que éstas prometen tener, sino debido a la sincronización que estos le permiten a sus usuarios en múltiples dispositivos. Sin embargo, LastPass parece no ser seguro del todo.
Un incidente que se dio a conocer en agosto, que aparentemente no era de gran relevancia, fue peor de lo que se pensaba. A través de una actualización en el blog de la compañía, Karim Toubba, CEO de LastPass, informó que el atacante logró clonar una copia de respaldo de los datos de bóveda de sus usuarios.
Datos de la bóveda capturados en Hack
El pirata informático accedió a un entorno de almacenamiento en la nube utilizando datos de la brecha de seguridad de agosto, estos datos incluían «información básica de la cuenta del cliente y metadatos relacionados, incluidos nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP». desde donde los clientes accedían al servicio de LastPass”. Aun no se sabe que se haya accedido a datos de tarjetas de crédito sin cifrar.
Aunque LastPass asegura que el caché de las bóvedas de contraseñas de sus clientes se almacenan en un formato propietario y que únicamente es posible desbloquearlos con la contraseña maestra de los clientes, que solo debería ser conocida por su respectivo dueño, la compañía teme de que se “intenten usar la fuerza bruta para adivinar su contraseña maestra y descifrar las copias de los datos de la bóveda que tomaron”. Como recordatorio, LastPass nunca conoce la contraseña maestra y LastPass no la almacena ni la mantiene. El cifrado y descifrado de datos solo se realiza en el cliente local de la aplicación.
Si usted es un usuario de LastPass, se recomienda tomar unas medidas de seguridad, como por ejemplo, cambiar su contraseña por una más segura lo antes posible, estar atento a las publicaciones en el blog de la compañía y activar la autenticación de dos pasos.
Más información: blog.lastpasss
