LastPass, el gestor de contraseñas más conocido y posiblemente el más usado del mundo, no pasa ni mucho menos por un buen momento. El servicio fue víctima de dos ciberataques (que se sepa) durante el transcurso del año 2022, uno del que informamos el pasado mes de agosto y otro del que nos enteramos nada más comenzar el presente mes de diciembre. Ahora la compañía responsable ha publicado una entrada en su blog oficial para decir que el ataque del pasado mes de agosto fue peor de lo estimado en un principio.
Sobre el ciberataque de agosto, LastPass explicó en su momento que el origen fue un actor malicioso que consiguió hacerse pasar por un desarrollador después de que este lograra autenticarse correctamente mediante el proceso de varios factores. Tras conseguir acceder, el atacante consiguió hacerse con porciones del código fuente y con cierta información técnica y privativa de la compañía, pero que presuntamente no había logrado hacerse con contraseñas maestras, contraseñas cifradas, información personal ni otros datos almacenados en las cuentas de los clientes.
Sin embargo, LastPass reconoció a través de la actualización que publicó ayer que los atacantes consiguieron acceder a información personal y a otros metadatos relacionados, incluyendo nombres de las empresas clientes, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono, direcciones IP y hasta lograron hacerse con los datos de la bóveda con datos no cifrados como las URL de los sitios web. A todo eso se suman campos de datos cifrados como nombres de usuario y contraseñas de sitio web, notas seguras y datos para rellenar formularios.
Karim Toubba, CEO de LastPass, ha recordado que los atacantes no han podido hacerse con clave maestra debido a que esta nunca es conocida y no es mantenida ni almacenada por el servicio, por lo que el cifrado y descifrado de los datos es llevado a cabo solo de forma local mediante el cliente. Esto es debido a que el gestor de contraseñas emplea una arquitectura de conocimiento cero. Otros datos que aparentemente no han acabado expuestos son los de las tarjetas de crédito sin cifrar, ya que estos se almacenan en un entorno diferente al que los atacantes no accedieron.
Toubba ha explicado, profundizando en lo ya expuesto, que “el actor de amenazas también pudo copiar una copia de seguridad de los datos de la bóveda del cliente desde el contenedor de almacenamiento cifrado, que se almacena en un formato binario privativo que contiene datos no cifrados como las URL del sitio web, así como campos confidenciales totalmente cifrados, como los nombres de usuario y las contraseñas de los sitios web, notas seguras y datos rellenados en formularios”.
El robo de código fuente y de información técnica privativa de LastPass ha podido estar relacionado con otra brecha que afectó a Twilio, un proveedor de servicios de comunicación y de autenticación en dos pasos con sede en San Francisco, Estados Unidos. Los atacantes consiguieron robar los datos de 163 clientes de Twilio y parece que también han sido autores de ataques contra 136 empresas, entre las cuales estaría LastPass.
Otro punto nuevo que ha resaltado la empresa es que los actores maliciosos podrían usar el código fuente y la información técnica robada para ir contra un empleado de LastPass y obtener credenciales y calves de seguridad que les permita acceder y descifrar volúmenes de almacenamiento dentro del propio servicio de almacenamiento en la nube que emplea internamente.
En resumidas cuentas, el ataque que recibió LastPass fue bastante más grave de lo que se pensaba en un principio. Con los nuevos datos sobre la mesa, los usuarios de este gestor no solo tendrían que cambiar la contraseña con la que acceden a su bóveda, sino también todas las que tienen almacenadas en ese servicio. Cierto es que una contraseña cifrada requiere de bastantes recursos para obtener la original si se ha empleado un algoritmo fuerte, pero con estas cosas siempre es mejor ir con pies de plomo.