¿Merece LastPass una última oportunidad?

Es posible que el gestor de contraseñas haya echado por tierra las pocas probabilidades que tenía de enmendar las tensas relaciones con sus clientes; tras una desastrosa filtración de datos que ha durado meses, ¿merece LastPass una última oportunidad? Muchos usuarios no opinan lo mismo.

Los usuarios del malogrado gestor de contraseñas no son ajenos a las violaciones de datos, ya que han sufrido varias en el espacio de una década. Sin embargo, cuando la empresa confirmó un ciberataque en agosto de 2022, pocos habrían imaginado que se vería envuelta en una larga debacle, plagada de comunicaciones mal gestionadas e informes contradictorios.

Y sin embargo, seis meses después, todavía está aprendiendo el verdadero alcance de los daños causados a su servicio y, en última instancia, a las vidas digitales de sus clientes.

Lo que sabemos sobre el último ataque a LastPass

El 27 de febrero, LastPass proporcionó una actualización crucial sobre la magnitud del incidente, o incidentes. Resulta que la brecha inicial de agosto desencadenó una reacción en cadena que dejó a la empresa al descubierto durante varios meses.

En primer lugar, un agente de amenazas comprometió el portátil corporativo de un ingeniero de software, dándole acceso no autorizado a un entorno de desarrollo basado en la nube y permitiéndole robar código fuente, información técnica y «ciertos secretos del sistema interno de LastPass«.

LastPass afirmó que «no se sustrajeron datos de clientes ni de bóvedas» durante ese incidente. Pero, para su desgracia, la empresa declaró cerrado el incidente. Esto fue antes de enterarse más tarde de que la información robada se utilizó para llevar a cabo un segundo ataque.

Revelado en diciembre, el segundo incidente vio a los hackers obtener acceso a los sistemas corporativos de LastPass, después de atacar y comprometer con éxito el PC de casa de un ingeniero senior de LastPass DevOps.

Este ingeniero era sólo uno de los cuatro individuos con acceso a claves de descifrado críticas. Después de casi tres años de trabajo remoto e híbrido, cabría esperar que una empresa dedicada a la seguridad de la información hubiera mitigado estos riesgos de seguridad en el trabajo remoto.

Al parecer, los autores de la amenaza aprovecharon las vulnerabilidades de una plataforma de software multimedia de terceros, Plex, para intermediar en el acceso. En ella instalaron un keylogger que rastreaba la actividad de los ingenieros, obteniendo acceso a su contraseña maestra y saltándose los procesos de autenticación de LastPass.

El castillo de naipes se desmorona

Según LastPass, el autor de la amenaza exportó las entradas nativas de la bóveda corporativa y el contenido de las carpetas compartidas. Estas contenían «notas seguras cifradas con claves de acceso y descifrado necesarias para acceder a las copias de seguridad de producción de LastPass en AWS S3, otros recursos de almacenamiento en la nube y algunas copias de seguridad de datos críticos relacionados».

El aspecto más sorprendente de este segundo incidente es que LastPass dijo que tanto las alertas como el registro estaban activados, pero «no indicaron inmediatamente el comportamiento anómalo», porque los investigadores no podían diferenciar entre el actor de la amenaza y la actividad legítima.

La paciencia se ha agotado

Ninguna empresa es realmente inmune a los riesgos de seguridad. Los incidentes ocurren con frecuencia y es una dinámica que forma parte del día a día en la vida digital.

Sin embargo, cabe esperar una comunicación concisa y directa por parte de las empresas que guardan nuestros datos personales y el acceso a ellos. Las investigaciones llevan su tiempo, pero la forma en que LastPass se ha comunicado con los clientes en los últimos seis meses ha sido notablemente deficiente.

Desde agosto hasta principios de marzo de este año, la empresa fue dando detalles a cuentagotas a los clientes y luego cambió su versión en diciembre tras descubrir nueva información.

Respuestas tardías

El consejero delegado de Lastpass, Karim Toubba, ha declarado que la empresa reconoce «la frustración de los clientes por nuestra incapacidad para comunicar de forma más inmediata, más clara y más exhaustiva este suceso».

«Acepto las críticas y asumo toda la responsabilidad», continuó, en un reciente comunicado. «Hemos aprendido mucho y nos comprometemos a comunicarnos más eficazmente en el futuro».

Las disculpas parecen llegar tarde, ya que cerca de 30 millones de usuarios habrán tenido que cambiar sus contraseñas, o incluso, plantearse abandonar el servicio por otro de la competencia.

Los gestores de contraseñas son algo más que una comodidad o un lujo: se están convirtiendo rápidamente en el guardián más importante de nuestra vida digital, tanto personal como profesional.

Los usuarios les confían información crítica y, tanto si se trata de redes sociales como de cuentas bancarias en línea, profesionales o de venta al por menor, la perspectiva de que las credenciales queden expuestas es de suficiente calado, y un motivo más para estar alerta.

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments

Relacionados

Tendencias

Más leídos

Se habla de..

0
Would love your thoughts, please comment.x
()
x