Hackearon un importante gestor de contraseñas: ¿Qué riesgos implica?
Ocurre que aquel es un servicio diseñado para robustecer la seguridad informática a través del almacenamiento centralizado de contraseñas.
El hackeo a LastPass fue confirmado por el director ejecutivo de esa empresa, Karim Toubba, que en un comunicado dijo: “Descubrimos que un actor no autorizado obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una sola cuenta de desarrollador comprometida y tomó partes del código fuente y cierta información técnica patentada”. El CEO agregó que los productos y servicios de la empresa mantuvieron el normal funcionamiento.
Toubba comentó además que no encontraron pruebas de robo de información por parte de los atacantes. En otras palabras (según el informe oficial) los hackers que accedieron al servicio no se llevaron contraseñas o información de los usuarios.
Hackearon a LastPass, uno de los mayores gestores de contraseñas
“En respuesta al incidente, implementamos medidas de contención y mitigación, y contratamos a una firma líder en ciberseguridad y análisis forense. Si bien nuestra investigación está en curso, hemos logrado un estado de contención, implementamos medidas de seguridad mejoradas adicionales y no vemos más evidencia de actividad no autorizada”, concluyó el CEO de LastPass.
- Se trata de un gestor de contraseñas: las almacena en la nube, encriptadas.
- Sirve principalmente para no tener que recordar las numerosas claves que se usan a diario, guardándolas en un depósito centralizado.
- Se lanzó en el año 2008.
- Se ofrece bajo modalidad freemium: es gratis con funciones básicas, y con una suscripción añade características avanzadas.
- Se usa como extensión los diversos navegadores web disponibles en el mercado.
- LastPass fue eje de una polémica por rastreo de datos
- El año pasado, el investigador de seguridad Mike Kuketz, publicó un informe en el que aseguró haber encontrado rastreadores de datos en LastPass que se usaron con propósitos comerciales.
Esos sistemas de seguimiento (trackers) mostraban a empresas el modelo del dispositivo de los usuarios o si el equipo empleaba datos biométricos. Kuketz recomendó en la ocasión dejar de usar LastPass, según recogió el sitio The Register.
“Recomiendo cambiar el administrador de contraseñas. Hay soluciones que no envían datos de forma permanente a terceros y registran el comportamiento de los usuarios”, dijo en la ocasión el investigador.
Desde la empresa explicaron que la intromisión se produjo a través de la cuenta de un desarrollador. Esto permite colegir que los atacantes habrían apelado a una técnica clásica: la ingeniería social. LastPass no brindó detalles al respecto, pero se supone que el mencionado desarrollador habría tenido un descuido, abriendo de esa forma un camino para la intrusión.
¿Qué es la ingeniería social, en seguridad informática? Se trata de técnicas de manipulación empleadas por ciberdelincuentes para conseguir información confidencial, accesos, etcétera. En muchos casos, los piratas informáticos se hacen pasar por personas de confianza, servicios técnicos, personal de soporte, etcétera.
Si bien las contraseñas de los usuarios no se vieron afectadas en la vulneración de LastPass, ese hecho subraya la relevancia de seguir las medidas de seguridad habituales: no solamente usar sistemas de protección, sino también hacer un uso consciente y “despierto” de los sistemas digitales. Es decir, tener una mirada siempre atenta para evitar engaños que muchas veces son de orden técnico y en muchos casos aprovechan descuidos inocentes.