Uno de los principales programas de administración de contraseñas del mercado, LastPass, ha sido hackeado. Lo ha reconocido hace unas horas su CEO, Karim Toubba, explicando que el o los ciberatacantes se habían hecho con «partes del código fuente y de la información técnica patentada por LastPass».
«Tras iniciar una investigación inmediata, no hemos encontrado evidencia de que este incidente involucrara ningún acceso a los datos de los clientes».
Sin embargo, de lo que sí han encontrado evidencia es del origen de la intrusión. Aparentemente, hace dos semanas tuvo lugar una «actividad inusual en algunas partes del entorno de desarrollo» de su plataforma, como consecuencia de un acceso de un tercero «a través de una sola cuenta de desarrollador comprometida».
Según la compañía, sus «productos y servicios funcionan normalmente» y sus 33 millones de usuarios registrados (100.000 de ellos de pago, y el resto gratuitas) no tienen por qué tomar por ahora ninguna medida extra para proteger sus cuentas.
¿Y ahora?
Sin embargo, a medio plazo, esta filtración constituye una clara amenaza para la seguridad de los datos de los usuarios, pues la información técnica robada podría dar pistas a los atacantes de vulnerabilidades —previamente detectadas o no— de la plataforma.
En realidad, este es el segundo incidente de ciberseguridad relacionado con LastPass en los últimos 8 meses: el pasado mes de diciembre varios de sus usuarios recibieron alertas de intentos de inicio de sesión haciendo uso de contraseñas maestras comprometidas.
Hay que irse 7 años atrás para encontrar un precedente tan grave como el de ahora: en junio de 2015, LastPass notificó una intrusión en la red interna de la compañía que obligó a ésta a solicitar a sus usuarios que cambiaran sus contraseñas maestras lo antes posible.
De modo que nuestra recomendación es aplicar una saludable dosis de paranoia extra, y cambiar la contraseña maestra de LastPass por si acaso. E incluso, valorar la posibilidad de apostar por un nuevo gestor de contraseñas… por ejemplo, por uno open source, en el que el robo del código fuente no constituya un contratiempo.
Fuente: https://www.genbeta.com