La gestora de contraseñas LastPass asegura que el hackeo de contraseñas que sufrió fue peor que lo informado, pues ahora confirman que los atacantes lograron hacerse con las bóvedas de contraseñas de usuarios, miles de datos en los que se incluyen IPs, nombres de clientes y facturas.
Fue en agosto de 2022, cuando se originó un grave incidente que afectó a LastPass, uno de los gestores de contraseñas más populares del mundo. Y es que, Karim Toubba, el CEO de LastPass, advirtió que el servicio había sido hackeado. Esto ocurrió unas semanas antes de que detectaron signos de actividad inusual y avisó que los atacantes habían robado partes del código fuente e información técnica sobre el gestor. Afortunadamente, cuando este incidente ocurrió, calmó a sus clientes, asegurando que tras este hackeo no se habían accedido a los datos de ningún usuario.
Las empresas como esta, emplean bóvedas de contraseñas para almacenar los datos de los usuarios. Pues bien, estas bóvedas se pueden ver como cajas fuertes digitales y precisamente estas han sido afectadas por el hackeo de LastPass.
Ahora se sabe que parte del código fuente robado y fue empleado para realizar “spear phising” (estafa de correo electrónico) a un empleado de LastPass.
Asegura SICT que hackeo no dañó sistema ni se robaron datos personales
A través de este método, los delincuentes cibernéticos lograron obtener las credenciales de acceso y a continuación, las emplearon para descifrar y robar “algunos volúmenes de almacenamiento dentro del servicio de almacenamiento basado en la nube.” Básicamente, lo que ocurrió es que los hackers pudieron acceder a la bóveda de contraseñas de LastPass y robar parte de los datos.
Por lo que los atacantes ahora tienen información de los clientes como nombres de empresas, direcciones de facturas, correos electrónicos, números de teléfono e incluso sus IP.
Pese a esto para Karim Toubba no hay de que preocuparse, pues todos estos datos están protegidos mediante un cifrado AES de 256 bits, el cual solo pueden descifrarse con una clave de cifrado única derivada de la contraseña maestra. Para finalizar, argumenta que la contraseña maestra nunca es conocida, almacenada o mantenida por LastPass.
Síguenos en nuestras redes sociales ??