¿Es seguro LastPass? Esto es lo que sabemos sobre su historial de seguridad.
LastPass ha aparecido bastante en las noticias durante la última década. Después de algunas filtraciones de datos e incidentes de seguridad, es posible que se pregunte si ahora es seguro utilizar el conocido administrador de contraseñas, ya sea que haya sido usuario anterior, actual o potencial de LastPass.
Echemos un vistazo a las funciones y medidas de seguridad actuales de LastPass junto con los incidentes anteriores.
¿Qué es LastPass?
LastPass es una aplicación de administración de contraseñas disponible en la web, computadora de escritorio y dispositivos móviles, así como con extensiones de navegador. Ofrece autenticación multifactor, inicio de sesión biométrico, autocompletar, un generador de contraseñas y monitoreo de la web oscura junto con sus funciones básicas de administración de contraseñas .
En cuanto a la seguridad, LastPass utiliza cifrado de datos AES-256 , hashing PBKDF2 con salado SHA-256 y un modelo de conocimiento cero. LastPass también posee varias certificaciones de seguridad, incluidas ISO 27001, TRUSTe, SOC3 y otras.
Actualmente, LastPass tiene más de 33 millones de usuarios y unos ingresos anuales estimados de 143,7 millones de dólares .
Todo esto suena fantástico, ¿verdad? ¿Entonces, cuál es el problema?
Incidentes de seguridad de LastPass
Hay una razón por la que la gente pregunta si LastPass es seguro de usar. Las violaciones de seguridad, junto con el robo de información a lo largo de los años, son sin duda motivo de preocupación. Para comprender más sobre estos incidentes, veamos una breve cronología de lo que ocurrió.
2011: notificación de seguridad
LastPass encontró una irregularidad en el tráfico de su red junto con otra coincidente en una de sus bases de datos. Aunque no encontró una violación específica, LastPass pidió a sus usuarios que cambiaran sus contraseñas maestras por temor a que algunos de sus datos pudieran haber sido pirateados.
2015: violación de seguridad
LastPass notificó a su comunidad que "descubrió y bloqueó actividad sospechosa" en su red. La notificación indicaba que las direcciones de correo electrónico, los recordatorios de contraseñas, las sales de servidor por usuario y los hashes de autenticación estaban comprometidos. Sin embargo, no encontró evidencia de que los datos de la bóveda de los usuarios fueran robados y afirmó que no se accedió a las cuentas de los usuarios.
2021: rastreadores de terceros y contraseñas maestras
Un usuario de LastPass descubrió varios rastreadores de terceros en la aplicación móvil de Android. Si bien administradores de contraseñas similares también contenían este tipo de rastreadores, se señaló que LastPass tenía la mayor cantidad entre 1Password, Bitwarden y Dashlane.
“Ningún dato sensible de identificación personal del usuario o actividad de la bóveda podría pasar a través de estos rastreadores. Estos rastreadores recopilan datos estadísticos agregados limitados sobre cómo utiliza LastPass, que se utilizan para ayudarnos a mejorar y optimizar el producto”, dice la declaración proporcionada a The Register por un representante de LastPass.
Más adelante en 2021, se informó que los usuarios de LastPass fueron notificados por correo electrónico que sus contraseñas maestras estaban comprometidas y se bloquearon los intentos de inicio de sesión con esas contraseñas. Sin embargo, un representante de LastPass afirmó que la empresa investigó estos informes y "determinado que la actividad está relacionada con una actividad bastante común relacionada con bots…"
2022: robo de datos
Probablemente el incidente de seguridad más memorable ocurrió cuando un pirata informático robó una copia de la base de datos de clientes de LastPass, junto con bóvedas de contraseñas y datos que incluyen nombres, direcciones de correo electrónico y de facturación, números parciales de tarjetas de crédito y URL. Había una combinación de datos cifrados y no cifrados involucrados.
El informe de incidentes de seguridad de LastPass comienza con el suceso anterior de agosto de 2022. Luego, publicará actualizaciones durante los próximos meses, explicando su investigación sobre una actividad inusual en un servicio de almacenamiento en la nube compartido de terceros utilizado para almacenar copias de seguridad junto con otros datos.
Más adelante en 2022, LastPass declaró que los datos obtenidos en el incidente original de agosto se utilizaron para obtener acceso a la información del cliente, pero que las contraseñas permanecieron cifradas.
La persona o entidad pudo obtener el código fuente e información técnica para luego dirigirse a un empleado de LastPass. Obtuvieron credenciales y claves para acceder y descifrar volúmenes de almacenamiento dentro de ese servicio en la nube. Luego copiaron información de una copia de seguridad que contenía nombres de empresas, nombres de usuario, direcciones de correo electrónico y de facturación, números de teléfono y direcciones IP.
En septiembre de 2023, se encontró un vínculo entre el incidente de robo de datos de 2022 y el robo de más de 35 millones de dólares en criptomonedas a más de 150 víctimas desde diciembre anterior.
Medidas de seguridad adicionales de LastPass
Como se mencionó anteriormente, LastPass utiliza el estándar de la industria para el cifrado, hash PBKDF2 con salado y un método de conocimiento cero para proteger sus datos.
También se somete a auditorías y pruebas de rutina de su servicio e infraestructura, y brinda a los usuarios acceso a su equipo de seguridad para informar posibles debilidades. LastPass también utiliza lo que se llama un programa Bug Bounty donde los hackers de sombrero blanco pueden enviar los errores que encuentren.
¿Deberías utilizar LastPass?
Con las medidas de seguridad actuales, un buen conjunto de funciones y millones de usuarios, parece razonable utilizar LastPass como su administrador de contraseñas, si puede superar los incidentes de seguridad que abarcan más de una década.
Pero eso es realmente a lo que se reduce. ¿ Puedes mirar más allá de los incidentes? ¿ Sentirías que tus datos están seguros? ¿Cuánta confianza estás dispuesto a depositar en LastPass?
Hay muchas empresas con productos de gestión de contraseñas que no han aparecido en los titulares ni han tenido incidentes como LastPass. Y ciertamente parece que LastPass tiene un objetivo permanente en la espalda de piratas informáticos y ladrones. Con suerte, la empresa está tomando las medidas necesarias para solucionar los problemas, pero ahora mismo tendrás que decidir si vale la pena correr el riesgo.