El pasado mes de agosto el gestor de contraseñas LastPass sufrió un ciberataque al que la compañía trató de quitar hierro, indicando que la intrusión solo había afectado a partes de su código fuente y a alguna información técnica.
Los cibermalos tuvieran acceso a sus sistemas durante cuatro días y, según señalaba la firma entonces, no había evidencia de "ninguna actividad de actor de amenazas más allá de la línea de tiempo establecida. También podemos confirmar que no hay evidencia de que este incidente involucre ningún acceso a los datos del cliente o bóvedas de contraseñas encriptadas".
"Reconocemos que los incidentes de seguridad de cualquier tipo son inquietantes, pero queremos asegurarle que sus datos personales y contraseñas están seguros bajo nuestro cuidado. Gracias por su continua confianza y apoyo", afirmaba el CEO de LastPass, Karim Toubba.
Sin embargo, el ataque habría resultado bastante peor de lo que se comunicó inicialmente. Parece que los cibermalos lograron alcanzar los 'vaults' o bóvedas de contraseñas de los usuarios en ciertos casos. Es decir, habrían penetrado para poder hacerse con colecciones complejas de datos personales cifrados.
La compañía ha revelado que los actores de amenazas llegaron a acceder al almacenamiento cloud y descifrar el contenedor de claves de almacenamiento dual (que contiene los datos de las bóvedas de contraseñas de los clientes en un formato binario patentado).
Los ciberdelincuentes replicaron una copia de seguridad que contenía datos básicos de los cliente y metadatos relacionados, incluyendo nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de email, números de teléfono y direcciones de IP desde las que se conectaron los clientes al servicio.
LastPass nunca almacena la clave maestra
Pese a ello, Toubba perjura que los datos obtenidos permanecen a salvo mediante un algoritmo de cifrado 256-bit AES, puesto que es necesaria la clave maestra para acceder a ellos.
Como esta no se almacena en LastPass en teoría estarán seguros. Su arquitectura de Conocimiento Cero implica que la empresa desconoce la contraseña maestra requerida para desbloquear los datos. Además, este proceso de descifrado se lleva a cabo localmente, nunca online.
No obstante, la compañía recomienda cambiar una a una las contraseñas de todos los servicios, así como la clave maestra para acceder a ellas.