cibercrimen
Ciberataques

El gestor de contraseñas LastPass alerta sobre una intrusión en su sistema de desarrollo

La empresa afirma que los datos de los usuarios siguen siendo seguros y que continúa investigando el incidente.

Contraseña

LastPass, fabricante de una popular aplicación de gestión de contraseñas, ha revelado este jueves que una parte no autorizada ha accedido a su entorno de desarrollo a través de una cuenta de desarrollador comprometida y ha robado parte del código fuente e información técnica de propiedad. Una investigación inicial del incidente no ha revelado ninguna prueba de que el intruso haya accedido a los datos de los clientes o a los almacenes de contraseñas encriptadas, declaró el CEO de la compañía, Karim Toubba, en una entrada del blog de la empresa.

Toubba explicó que las contraseñas maestras de los usuarios de la empresa están protegidas por una arquitectura de zero-knowledge, que impide a LastPass conocer o acceder a esas contraseñas.

"Nuestros productos y servicios funcionan con normalidad", añade la portavoz de LastPass, Nikolett Bacso Albaum. "En respuesta al incidente, iniciamos inmediatamente una investigación, desplegamos medidas de contención y mitigación, y contratamos a una empresa líder en ciberseguridad y análisis forense".

"Si bien nuestra investigación está en curso", continúa, "hemos logrado un estado de contención, implementado medidas de seguridad mejoradas adicionales, y no vemos ninguna otra evidencia de actividad no autorizada".

 

Los gestores de contraseñas son un objetivo atractivo

Aunque se desconoce el motivo de los responsables de este incidente de LastPass, los gestores de contraseñas son un objetivo difícil pero atractivo para los actores de amenazas, observa Melissa Bischoping, especialista en investigación de seguridad end point de Tanium. "En caso de que sean vulnerados, desbloquean -literalmente- un tesoro de acceso a cientos de miles de cuentas y datos sensibles de los clientes en un instante", afirma.

También se desconoce cómo se comprometió la cuenta del desarrollador. Es de suponer que LastPass contaba con controles de autenticación adecuados, pero a veces "incluso las soluciones de autenticación fuertes no son suficientes por diversas razones", dice Rajiv Pimplaskar, CEO de Dispersive Holdings, un proveedor de servicios de acceso seguro.

 

LastPass puede contener los daños

Taylor Ellis, analista de amenazas a clientes de Horizon3.ai, una empresa de pruebas de penetración automatizadas como servicio, elogia a LastPass por la forma en que ha manejado el incidente. "Cada vez que se produce una brecha, muchas organizaciones no logran aislar el incidente rápidamente o tienen dificultades para orientar una investigación de seguridad adecuada", explica. "Como empresa de seguridad experimentada, LastPass al menos tuvo la ventaja de actuar como el equipo local siguiendo los procedimientos correctos, aislando el problema a tiempo y evitando que sus clientes se vieran gravemente afectados por la brecha".



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper