Lo que necesitas saber
- El software de administración de contraseñas LastPass sufrió una brecha en sus servidores en la nube en agosto de 2022.
- Los datos de los clientes, incluidas las bóvedas de contraseñas, los nombres, las direcciones IP y de facturación y los números de teléfono, se encuentran entre los datos recientemente confirmados como robados durante el ataque.
- LastPass explica que su cifrado AES de 256 bits hace que sea poco probable que los atacantes obtengan acceso a las bóvedas de contraseñas de clientes robadas.
- La información de la tarjeta de crédito no se incluyó en los datos robados, se almacenaron por separado en un lugar seguro.
LastPass, el software de administración de contraseñas diseñado para navegadores web en computadoras de escritorio y dispositivos móviles, confirmó los detalles de una violación autorizada a sus servidores de almacenamiento en la nube y la datos encriptados de bóvedas digitales de clientes. En agosto de 2022, LastPass anunció que no había accedido a ningún dato del cliente, pero que un ladrón había robado el código fuente de la empresa y otra información confidencial de los empleados.
en un nueva entrada de blog (se abre en una pestaña nueva), LastPass revela más información sobre la brecha para promover su compromiso con la transparencia. Las acciones de un solo actor de amenazas les permitieron secuestrar credenciales y apuntar a otros empleados dentro de la empresa, obteniendo acceso a claves de descifrado para los dispositivos de almacenamiento en la red de almacenamiento en la nube de respaldo. Los datos de los clientes en estas copias de seguridad incluyen nombres de empresas y usuarios finales, direcciones de facturación y de correo electrónico, números de teléfono y direcciones IP.
Las bóvedas digitales almacenan todas y cada una de las contraseñas guardadas en el servicio, pero LastPass sostiene que no hay no hay evidencia de una amenaza significativa a los datos del cliente. Todos los datos almacenados en los servidores principal y de respaldo usan encriptación AES de 256 bits a la que los usuarios solo pueden acceder con una clave única generada por su contraseña maestra. LastPass nunca almacena estas contraseñas maestras en ningún lugar, según su arquitectura de conocimiento cero.
¿Estoy afectado por la infracción de LastPass?
LastPass sostiene que no almacena ningún número de tarjeta de crédito completo y que la información se almacena por separado de los servidores de respaldo afectados. El hacker responsable puede intentar obtener acceso a los datos secuestrados a través de la fuerza bruta, pero el método de encriptación hace que la probabilidad de éxito sea mayor. extremadamente improbable.
Si los clientes han seguido las mejores prácticas para su contraseña maestra, incluido el uso de cadenas alfanuméricas con mayúsculas y minúsculas y caracteres especiales, podría tomar Millones de años para descifrar el código. Debe tomar medidas cuidadosas si tiene dudas sobre los riesgos para su información privada, por lo que cambiando sus contraseñas todavía se recomienda.
¿Qué pasa después?
Para eliminar el riesgo de que este tipo de incumplimiento vuelva a ocurrir, LastPass ha completamente reconstruido su entorno de desarrollo e implementó estrictos procesos y mecanismos de autenticación. Detrás de escena, la compañía se esfuerza por identificar cualquier actividad sospechosa dentro del almacenamiento de respaldo en la nube. También están actualizando sus medidas de seguridad y confirmando exactamente a qué datos accedió la infracción, lo que incluye asesorar a los clientes comerciales sobre las acciones recomendadas.
Por precaución, se notificó a los funcionarios encargados de hacer cumplir la ley y otras autoridades relevantes están involucradas en una investigación en curso. LastPass ha dicho que seguirán más actualizaciones, pero los sistemas seguirán funcionando como de costumbre para los clientes actuales. Si la empresa no se ha puesto en contacto contigo directamente, puedes contactarlos a través de la aplicación oficial o sitio web de soporte (se abre en una pestaña nueva) para atender cualquier inquietud.
Toma de Windows Central
Cualquier violación de contraseña es motivo de preocupación, pero la respuesta integral y la transparencia de LastPass son un poco aliviadoras. El cifrado de 256 bits debería significar que cualquier contraseña maestra razonablemente segura mantendrá las bóvedas de los clientes a salvo de intentos de acceso por fuerza bruta, pero cualquier persona afectada debe cambiar sus inicios de sesión críticos para estar seguros.
Si esta brecha reciente lo afectó lo suficiente como para buscar la mejor alternativa de LastPass, nuestros colegas dentro de Windows Central usan Pasar y guardián para hacer una copia de seguridad de sus contraseñas. Independientemente del servicio que elija, siempre esfuércese por utilizar cadenas largas y complejas con una combinación de letras, números y símbolos cuando el servicio lo acepte.