El hackeo masivo de LastPass de 2022 todavía nos persigue

Aranzulla de Los Pobres

Justo cuando pensaba que la violación de LastPass de 2022 había terminado, todavía estamos aprendiendo cuán perjudicial fue el ataque. Según el experto en blockchain ZachXBT y descubierto por The Block , se robaron 5,36 millones de dólares a 40 usuarios en una serie de ataques. Esto se suma a los 4,4 millones de dólares robados en octubre de 2023 y los 6,2 millones de dólares a principios de este año, en febrero de 2024.

El hack original se remonta a 2022, cuando los piratas informáticos afirmaron haber accedido a los datos de LastPass, que contenían tokens API, claves de cliente, semillas de autenticación multifactor (MFA) y bóvedas de contraseñas cifradas. Aunque no hay información oficial que explique cómo ocurrió la infracción, es posible que el pirata informático responsable haya obtenido acceso a información que ayudó a la infracción. Los piratas informáticos se abrieron paso a pesar de que las bóvedas de contraseñas estaban cifradas porque los usuarios reutilizaban combinaciones débiles o previamente filtradas. Este acceso, combinado con las contraseñas débiles o reutilizadas de los usuarios, llevó a que las distintas cuentas se vieran comprometidas.

"No puedo enfatizar esto lo suficiente, si cree que alguna vez almacenó su frase inicial o claves en LastPass, migre sus criptoactivos de inmediato", escribió ZachXBT en una publicación X el año pasado.

Sólo el tiempo dirá si esta cadena de ataques continúa, lo que hace que uno se pregunte si LastPass es seguro . Pero, ¿cómo se produjo la infracción original? LastPass reveló que los piratas informáticos robaron el código fuente de la aplicación. En un ataque posterior, los piratas informáticos fusionaron los datos robados con información descubierta en otra filtración de datos.

Luego, los piratas informáticos explotaron una debilidad en una aplicación de acceso remoto que utilizaban los empleados de LastPass. Esto permitió al hacker instalar un registrador de teclas en la PC de un ingeniero senior de LastPass, que registró todas las entradas clave.

La infracción resalta la importancia de tener siempre una contraseña segura en todas sus cuentas. Nunca reutilices contraseñas ni tengas contraseñas fáciles de adivinar por las que los hackers te amarán . Si crear contraseñas largas y seguras no es lo tuyo, siempre puedes utilizar uno de los mejores generadores de contraseñas .