Llegamos a ustedes gracias a:



Alertas de Seguridad

El gestor de contraseñas LastPass

Revela una intrusión en su sistema de desarrollo

[27/08/2022] LastPass, fabricante de una popular aplicación de gestión de contraseñas, reveló el jueves que una parte no autorizada accedió a su entorno de desarrollo a través de una cuenta de desarrollador comprometida, y robó parte del código fuente e información técnica patentada. Una investigación inicial del incidente no ha revelado ninguna prueba de que el intruso haya accedido a los datos de los clientes o a los almacenes de contraseñas encriptadas, declaró el director general Karim Toubba en una entrada del blog de la empresa.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Toubba explicó que las contraseñas maestras de los usuarios de la empresa están protegidas por una arquitectura de conocimiento cero, que impide a LastPass conocer o acceder a esas contraseñas.

"Nuestros productos y servicios funcionan con normalidad", añadió la portavoz de LastPass, Nikolett Bacso Albaum. "En respuesta [al incidente], iniciamos inmediatamente una investigación, desplegamos medidas de contención y mitigación, y contratamos a una empresa líder en ciberseguridad y análisis forense".

"Si bien nuestra investigación está en curso", continuó, "hemos logrado un estado de contención, implementado medidas de seguridad mejoradas adicionales, y no vemos ninguna otra evidencia de actividad no autorizada".

Los gestores de contraseñas son un objetivo atractivo

Aunque se desconoce el motivo de los responsables de este incidente de LastPass, los gestores de contraseñas son un objetivo difícil pero atractivo para los actores de amenazas, observó Melissa Bischoping, especialista en investigación de seguridad de puntos finales de Tanium, una empresa de gestión y seguridad de puntos finales. "En caso de que sean vulnerados, desbloquean -literalmente- un tesoro de acceso a cientos de miles de cuentas y datos sensibles de los clientes en un instante", afirmó.

También se desconoce cómo se comprometió la cuenta del desarrollador. Es de suponer que LastPass contaba con controles de autenticación adecuados, pero a veces "incluso las soluciones de autenticación fuertes no son suficientes por diversas razones", anotó Rajiv Pimplaskar, director general de Dispersive Holdings, un proveedor de servicios de acceso seguro.

LastPass puede contener los daños

Taylor Ellis, analista de amenazas a clientes de Horizon3.ai, una empresa de pruebas de penetración automatizadas como servicio, elogió a LastPass por la forma en que ha manejado el incidente. "Cada vez que se produce una brecha, muchas organizaciones no logran aislar el incidente rápidamente, o tienen dificultades para orientar una investigación de seguridad adecuada", explicó. "Como empresa de seguridad experimentada, LastPass al menos tuvo la ventaja de ser el equipo local al seguir los procedimientos correctos, aislar el problema a tiempo y evitar que sus clientes se vieran gravemente afectados por la brecha".