LastPass, el popular servicio de gestión de contraseñas, anunció recientemente que fue pirateado. Específicamente, el director ejecutivo de LastPass, Karim Toubba, escribió que “una parte no autorizada obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una única cuenta de desarrollador comprometida y tomó partes del código fuente y cierta información técnica patentada de LastPass”.
Esta no es la primera vez que LastPass tiene problemas de seguridad. En 2021, parecía que es posible que se hayan revelado las contraseñas maestras de LastPass de algunos usuarios. LastPass respondió que no había sido violado, pero los usuarios que habían recibido correos electrónicos advirtiéndoles que una persona desconocida estaba intentando iniciar sesión en sus cuentas no estaban convencidos. Sin embargo, LastPass insistió en que era sólo el resultado de un ataque de relleno de credenciales.
También: ¿Quieres deshacerte de LastPass? Aquí están las mejores alternativas para probar.
En 2020, LastPass tuvo una interrupción importante y los usuarios informaron que no podían iniciar sesión en sus cuentas ni autocompletar contraseñas. En 2019, los investigadores de seguridad también descubrieron un importante problema de seguridad de LastPass.
Ninguno de estos problemas por sí solo es tan grave. Sí, es horrible que la cuenta de un desarrollador haya sido pirateada, pero sucede.
Dicho esto, sigue siendo preocupante que la mayor empresa de seguridad de contraseñas, con 20 millones de clientes, tenga importantes problemas de seguridad anuales.
Es cierto que, como afirmó Toubba, con el hack de esta semana, “no hemos visto evidencia de que este incidente involucrara algún acceso a datos de clientes o bóvedas de contraseñas cifradas”. Pero con el código fuente propietario y los secretos técnicos revelados, la posibilidad de un ataque que podría revelar las contraseñas de los usuarios ciertamente existe.
Este es otro ejemplo más de cómo el código propietario es menos seguro que el código fuente abierto. Con los programas de contraseñas de código abierto, como Bitwarden, expertos independientes verifican todo el código. Esto garantiza que se puedan detectar posibles debilidades de seguridad antes de que se conviertan en agujeros de seguridad.
En este caso, sin embargo, LastPass ha “contratado a una empresa forense y de ciberseguridad líder” para investigar lo sucedido. LastPass también está implementando medidas de seguridad mejoradas. No han visto “más evidencia de actividad no autorizada”.
Desde mi punto de vista, esto es demasiado poco y demasiado tarde. Pero sigue siendo algo.
LastPass, con su modelo de conocimiento cero, sigue siendo una buena empresa de seguridad de contraseñas. Pero si quieres buscar otro administrador de contraseñas, nadie te culpará.
Historias relacionadas: