LastPass es un nombre conocido y confiable en seguridad de contraseñas, pero su historial de violaciones podría hacerle considerar una alternativa.

Conclusiones clave

  • LastPass ha experimentado múltiples violaciones de datos en el pasado, incluida una en 2015 que expuso los correos electrónicos de los usuarios y las contraseñas maestras. Sin embargo, la mayoría de los usuarios que emplearon capas de seguridad adicionales probablemente estuvieron a salvo de la infracción.
  • LastPass enfrentó críticas en 2021 cuando se descubrió que su aplicación para Android contenía rastreadores de terceros, lo que generó preocupaciones sobre la seguridad. LastPass respondió afirmando que los rastreadores se utilizaban para la telemetría de aplicaciones y los usuarios podían desactivarlos.
  • LastPass experimentó una brecha importante en 2022, donde los atacantes accedieron a datos de clientes y a información de la bóveda de usuarios. Esta infracción tuvo más consecuencias para LastPass y su empresa matriz, GoTo, incluidas copias de seguridad cifradas robadas y evidencia de una clave de cifrado accedida.
    instagram viewer
  • En general, si bien LastPass se considera seguro, las múltiples violaciones e incidentes de seguridad han llevado a algunos usuarios a buscar administradores de contraseñas alternativos que no se hayan visto comprometidos.

Muchos de nosotros utilizamos administradores de contraseñas para mantener seguros nuestros datos privados, siendo LastPass una de las opciones más populares que existen. Pero LastPass ha sufrido una buena cantidad de filtraciones de datos, poniendo en riesgo la información confidencial de los clientes.

Entonces, ¿cuántas veces han pirateado LastPass y sigue siendo seguro usarlo?

1. Incumplimiento de LastPass 2015

Haber de imagen: Ervins Strauhmanis/Flickr

El primer hackeo a LastPass ocurrió en junio de 2015, siete años después de la fundación de la empresa. Esta grave infracción expuso los correos electrónicos y las contraseñas maestras de los usuarios de LastPass, así como las palabras de sugerencia o recordatorio utilizadas para recordar las contraseñas maestras. El hack se detectó cuando LastPass detectó actividad sospechosa en la red, que pronto fue bloqueada. Sin embargo, ya se habían hecho algunos daños.

en un nota ahora vencida para los clientes (disponible a través de Internet Archive), LastPass informó a los usuarios que aquellos que usaron capas de seguridad adicionales como hash y salting en sus contraseñas probablemente estaban a salvo del hack. Afortunadamente, la mayoría de los usuarios de LastPass emplean estos métodos de seguridad, lo que significa que sólo una pequeña parte de los clientes tenía posibilidades de verse afectados.

LastPass también declaró que no creía que se hubiera accedido a ninguna cuenta de usuario debido al ataque, pero instó a usuarios verificar sus direcciones de correo electrónico y renovarlas cualquier semana o usar contraseñas maestras repetidamente para impulsar seguridad.

Unas semanas después del hackeo, LastPass publicó una entrada de blog afirmando que su seguridad había mejorado desde el ataque, con una serie de cambios pequeños y grandes que se realizaron para proteger aún más a los clientes. Entre estos cambios se incluyó la introducción de módulos de seguridad de hardware (HSM), que protegen la infraestructura criptográfica de LastPass.

2. Incidente de seguimiento de LastPass 2021

Aunque LastPass no fue pirateado en 2021, tuvo problemas cuando descubrió que su aplicación de Android contenía rastreadores de terceros. En febrero de 2021, una aplicación de análisis de seguridad llamada Exodus Privacy reveló que había encontrado siete rastreadores en la aplicación LastPass para Android, lo que generó sospechas entre los usuarios. El investigador de seguridad Mike Kuketz comentó sobre el descubrimiento en un Publicación del blog sobre seguridad de TI de Kuketz, afirmando que "está completamente fuera de discusión integrar [anuncios y rastreadores] en aplicaciones de administración de contraseñas".

Kuketz también enumeró los siete rastreadores que se encuentran en la aplicación LastPass para Android, que incluía rastreadores de Google Analytics, Segment y AppsFlyer. Kuketz condenó el acceso a plataformas de análisis de marketing de esta manera y escribió que el enfoque de LastPass es "extremadamente cuestionable en términos de seguridad".

Kuketz subrayó que la aplicación LastPass para Android debía verificarse manualmente para discernir si los rastreadores estaban vigilando activamente a los usuarios. Sin embargo, Kuketz señaló que la sola presencia de rastreadores era una mala práctica para una aplicación que necesita priorizar la seguridad.

En respuesta a esta crítica, Usuarios informados de LastPass que sí utiliza herramientas de análisis. LastPass enfatizó que esto se hizo para obtener información sobre "telemetría de aplicaciones, datos de informes de errores y fallas, así como información estadística de uso de alto nivel para, en última instancia, mejorar el rendimiento general, la confiabilidad y la usabilidad de [el aplicación]."

También se afirmó que el elemento de análisis de la aplicación LastPass era una función opcional que los usuarios podían desactivar en su configuración avanzada. Pero independientemente de esto, la presencia de rastreadores en la aplicación LastPass para Android dejó un mal sabor de boca a los analistas de seguridad y a los usuarios.

3. Infracciones de LastPass 2022

LastPass tardó algún tiempo en sufrir otro ciberataque después del incidente inicial de 2015. Pero en 2022 se produjo otro ataque. Este fue un año particularmente difícil para LastPass, con un ataque inicial en agosto que provocó ondas de choque que continuarían hasta 2023.

A principios de agosto de 2022, LastPass se dio cuenta de una infracción en la que un pirata informático había comprometido la computadora portátil de un desarrollador de LastPass para robar el código fuente y acceder a la plataforma de desarrollo basada en la nube de la empresa. El pirata informático evitó la seguridad de autenticación multifactor en la cuenta del ingeniero al autenticarse exitosamente como usuario. Si bien este fue un incidente muy preocupante, el pirata informático no recuperó información del cliente.

Pero unos meses después, las cosas empeoraron. En diciembre de 2022, LastPass anunció que el hack de agosto había dado a los atacantes una forma de acceder a áreas más sensibles de su infraestructura, explotadas por primera vez en noviembre. Esta vez, Los piratas informáticos accedieron a los datos de los clientes de LastPass., incluidas direcciones de correo electrónico y IP, números de teléfono y nombres. Además de esto, ciertos tipos de datos de la bóveda de usuarios quedaron expuestos, incluidos nombres de usuario y contraseñas almacenados para cuentas en línea.

No hace falta decir que LastPass estaba ahora en problemas y las cosas no se detendrían en 2023.

Las secuelas de 2023

Aunque 2023 no trajo nuevos hacks para LastPass, sí trajo información cada vez más inquietante sobre las vulnerabilidades de 2022.

En enero de 2023, la empresa matriz de LastPass, GoTo, emitió un comunicado sobre las consecuencias de los hacks de 2022. Declaración de GoTo Explicó que varios de los otros servicios de la compañía, incluidos Central, Hamachi, Pro, join.me y RemotelyAnywhere, también fueron atacados por atacantes a través de un dispositivo de almacenamiento en la nube de terceros. Desde este dispositivo, los atacantes robaron copias de seguridad cifradas. Es más, GoTo reveló que había encontrado evidencia que sugería que también se accedió a una clave de cifrado para algunas de las copias de seguridad robadas.

En febrero de 2023, LastPass volvió a aparecer en los titulares de las noticias cuando se reveló que, entre el primer y el segundo hackeo de 2022, los atacantes habían realizado más acciones maliciosas.

Como se documenta en la publicación X anterior, los piratas informáticos de noviembre de 2022 comprometió la computadora personal de un desarrollador senior de LastPass a través de una vulnerabilidad de medios de software. Después de piratear la computadora, los piratas informáticos instalaron un registrador de teclas que les permitía ver lo que el desarrollador estaba escribiendo en su teclado.

Esto les dio a los atacantes acceso a la contraseña maestra de la bóveda corporativa de LastPass del desarrollador, lo que les permitió acceder a la bóveda misma. Lo sorprendente aquí es que solo cuatro desarrolladores senior de LastPass tuvieron acceso a la bóveda corporativa, y los atacantes lograron atacar con éxito a uno de esos desarrolladores.

Los piratas informáticos también utilizaron las credenciales de usuario robadas en 2022 para robar 4,4 millones de dólares en criptomonedas en octubre de 2023. Se cree que los atacantes accedieron a claves y frases iniciales de billeteras criptográficas en la segunda infracción de 2022, lo que les permitió piratear billeteras y retirar criptomonedas a la dirección deseada.

LastPass tiene un lista completa de datos a los que se accedió en los hacks de 2022 si desea ver todo lo que quedó expuesto debido a los incidentes de 2022.

¿Sigue siendo seguro utilizar LastPass?

Aunque LastPass ha estado en servicio desde 2008, la mayoría de sus violaciones de datos e incidentes de seguridad ocurrieron en la década de 2020. Dados sus múltiples problemas de seguridad pasados, es natural sentirse un poco nervioso al usar LastPass, entonces, ¿cuál es el veredicto aquí? ¿Es seguro usar LastPass o debería optar por otra cosa?

Si bien es más seguro usar LastPass que una simple aplicación de notas o una opción de almacenamiento similar, es posible que hoy en día existan mejores administradores de contraseñas. Con tantas plagas en su historial de seguridad, LastPass se ha convertido en una opción prohibida para muchos, ya que no se sabe cuándo ocurrirá otra infracción. Dado que 2022 está causando tantos problemas para LastPass y sus usuarios, no sorprende que algunos usuarios hayan abandonado el barco y hayan optado por administradores de contraseñas que aún no han sido pirateados.

Dashlane y NordPass son sólo dos ejemplos de administradores de contraseñas de gran reputación que nunca han sufrido una violación de seguridad. por lo que ciertamente es posible encontrar un administrador de contraseñas al que no se le hayan expuesto los datos de sus clientes o los portales de sus empleados. piratas informáticos.

Si actualmente utiliza LastPass pero desea ir a otra parte, consulte nuestra guía en eliminar su cuenta LastPass. También tenemos una guía práctica sobre el administradores de contraseñas más seguros si necesita ayuda para elegir un reemplazo.

Sin embargo, los incidentes de seguridad de LastPass no lo convierten en un administrador de contraseñas inseguro. La aplicación todavía tiene muchas funciones útiles para proteger credenciales confidenciales y es fácil de usar independientemente de los conocimientos tecnológicos.

LastPass no es el rey de la gestión de contraseñas

No hay nada inherentemente malo en usar LastPass para almacenar contraseñas, ya que la aplicación generalmente es bastante segura. Sin embargo, vale la pena señalar las alternativas súper seguras que existen si desea asegurarse de que su información confidencial se almacene de la manera más efectiva posible.