LastPass emite una nueva divulgación y aviso sobre incidentes de seguridad
Imagen: Imágenes de Tada/Adobe Stock
LastPass fue pirateado dos veces por el mismo pirata informático el año pasado; un incidente a fines de agosto de 2023 y otro el 30 de noviembre de 2023. La compañía global de gestión de contraseñas publicó un informe el miércoles con nuevos hallazgos de su investigación de incidentes de seguridad y acciones recomendadas para los usuarios y las empresas afectadas.
Salta a:
Cómo ocurrió el ataque de LastPass y qué se comprometió
Los piratas informáticos violaron inicialmente la computadora portátil de la empresa de un ingeniero de software en agosto, informó LastPass. El primer ataque es crítico porque los piratas informáticos pueden aprovechar la información robada por los actores de amenazas en el incidente de seguridad inicial. Aprovechando la vulnerabilidad del paquete de medios de terceros, los delincuentes lanzaron un segundo ataque coordinado. El segundo ataque tuvo como objetivo la computadora personal del ingeniero de DevOps.
Informes de seguridad de lectura obligada
«Los actores de amenazas pudieron capturar la contraseña maestra del empleado después de que el empleado se autenticó a través de MFA y obtuvo acceso a la bóveda corporativa de LastPass del ingeniero de DevOps», detalla el reciente informe de incidentes de seguridad de la compañía.
LastPass ha confirmado que, en el segundo incidente, los atacantes accedieron a la bóveda de datos de la empresa, al almacenamiento de copias de seguridad basado en la nube, que contiene datos de configuración, secretos de API, secretos de integración de terceros, metadatos de clientes, y a todas las copias de seguridad de datos de bóvedas de clientes. Las bóvedas de LastPass también incluyen acceso a un entorno de almacenamiento en la nube compartido que contiene claves de cifrado para las copias de seguridad de la bóveda del cliente almacenadas en cubos de Amazon S3 donde los usuarios almacenan datos en su entorno de nube de Amazon Web Services.
El segundo ataque fue altamente enfocado y bien investigado, ya que se dirigió a uno de los cuatro empleados de LastPass con acceso a las bóvedas de la empresa. Después de que los piratas informáticos obtuvieron la bóveda descifrada, los ciberdelincuentes exportaron las entradas, incluidas las claves de descifrado necesarias para acceder a las copias de seguridad de producción de AWS S3 LastPass, otros recursos de almacenamiento basados en la nube y copias de seguridad de bases de datos críticas relacionadas.
Recomendaciones de seguridad para LastPass
LastPass emitió avisos para los usuarios y empresas afectados en dos avisos de seguridad. A continuación se presentan los detalles clave de estos anuncios.
Aviso de seguridad: Las acciones recomendadas para las ediciones LastPass Free, Premium y Home incluyen mejores prácticas centradas principalmente en contraseñas maestras, orientación sobre cómo crear contraseñas seguras y habilitar capas adicionales de seguridad, como la autenticación multifactor. La compañía también instó a los usuarios a restablecer sus contraseñas.
Idealmente, una contraseña maestra de LastPass debe tener entre 16 y 20 caracteres, contener al menos una letra mayúscula, una letra minúscula, un número, un símbolo y un carácter especial, y ser única, es decir, no debe usarse en otros sitios. Para restablecer la contraseña maestra de LastPass, los usuarios pueden seguir la guía oficial de LastPass.
LastPass también requiere que los usuarios usen el Panel de seguridad para verificar su puntaje de seguridad para conocer la seguridad de sus contraseñas actuales, activar y verificar el monitoreo de la web oscura y habilitar MFA predeterminado. Dark Web Monitor alerta a los usuarios cuando sus direcciones de correo electrónico aparecen en foros y sitios web de dark web.
Aviso de seguridad: las acciones recomendadas para los administradores de empresas de LastPass se prepararon después del evento para ayudar a las empresas que utilizan LastPass. Una guía más completa incluye 10 puntos:
- Longitud y complejidad de la contraseña maestra.
- El recuento de iteraciones de la contraseña maestra.
- Prácticas recomendadas de superadministrador.
- Secreto compartido de MFA.
- Integración SIEM Splunk.
- Exposición debido a datos no cifrados.
- Desactivar aplicaciones de contraseñas (empujar sitios web a los usuarios).
- Restablezca las claves SCIM, Enterprise API y SAML.
- Consideraciones conjuntas del cliente.
- Consideraciones adicionales.
Los usuarios superadministradores de LastPass tienen privilegios adicionales además de los administradores normales. Dados sus amplios poderes, la empresa emitió un aviso especial para los usuarios superadministradores después del ataque. Las sugerencias para los superadministradores de LastPass incluyen las siguientes.
- Siga las mejores prácticas de iteración y contraseña maestra: Asegúrese de que su usuario superadministrador tenga una contraseña maestra segura y un recuento de iteraciones seguro.
- Ver superadministradores con el permiso de política «Permitir que los superadministradores restablezcan la contraseña maestra»: Si se habilita una política que permite a los superadministradores restablecer las contraseñas maestras y los usuarios identifican a los superadministradores con contraseñas maestras débiles y/o recuentos de iteraciones bajos, sus inquilinos de LastPass pueden estar en riesgo. Estos deben ser revisados.
- Realice una revisión de seguridad: Las empresas deben realizar una revisión de seguridad completa para determinar acciones adicionales en las cuentas comerciales de LastPass.
- Acciones posteriores a la revisión: La identificación de cuentas de superadministrador de riesgo y la identificación de iteraciones o contraseñas maestras débiles deben llevar a cabo las siguientes acciones:
- Clientes de inicio de sesión federados: Considere la posibilidad de desasociar y volver a federar a todos los usuarios, y solicite a los usuarios que roten todas las credenciales del almacén.
- Clientes de inicio de sesión no federados: Considere restablecer las contraseñas maestras de los usuarios y solicitar a los usuarios que cambien todas las credenciales de la bóveda.
- Rotación de certificados: LastPass recomienda utilizar un enfoque basado en el riesgo para priorizar la rotación de credenciales críticas en las bóvedas de los usuarios finales.
- Busque superadministradores con el permiso «Permitir que los superadministradores accedan a las carpetas compartidas»: Si determina que la contraseña de superadministrador es débil, restablezca la contraseña maestra. Rotar credenciales entre carpetas compartidas.
- Investigue MFA: Genere un informe de autenticación multifactor habilitada para mostrar a los usuarios que han habilitado las opciones de MFA, incluida la solución de MFA que están utilizando.
- Restablecer secretos de MFA: Para LastPass Authenticator, Google Authenticator, Microsoft Authenticator o Grid, restablezca todos los secretos de MFA.
- Envíe un correo electrónico al usuario: Restablecer el secreto compartido de MFA destruye todas las sesiones de LastPass y los dispositivos de confianza. Los usuarios deben volver a iniciar sesión, pasar la verificación de ubicación y volver a habilitar sus respectivas aplicaciones MFA para continuar usando el servicio. LastPass recomienda enviar un correo electrónico con información sobre el proceso de reinscripción.
- comunicar: Comunicar informes de incidentes de seguridad y acciones a tomar. Alerte a los usuarios sobre técnicas de phishing e ingeniería social.
Alternativas de LastPass y el impacto del hack
LastPass dijo que creía que había tomado las medidas necesarias para frenar y eliminar el acceso futuro al servicio; sin embargo, la última revelación de LastPass fue tan preocupante que los expertos en seguridad rápidamente «comenzaron a pedir a los usuarios que cambiaran a otros servicios», según Wired. Los principales competidores de LastPass incluyen 1Password y Dashlane.
Consulte: Bitwarden frente a 1Password | Keeper frente a LastPass (Tecnopedia)
Los expertos también cuestionaron la transparencia de LastPass, que no fechó la declaración del incidente de seguridad, no registró directamente la hora exacta del segundo ataque, ni cuánto tiempo permaneció el hacker en el sistema; afecta significativamente la cantidad de datos y sistemas que pueden ser explotado. (Me puse en contacto con LastPass para hacer comentarios, pero no recibí respuesta en el momento de la publicación).
Para los usuarios de LastPass, las consecuencias de estos recientes incidentes de seguridad son claras. Si bien la compañía aseguró que no hay indicios de que los datos filtrados se vendan o comercialicen en la web oscura, los administradores de empresas aún tienen que lidiar con el extenso aviso emitido por LastPass.
Un futuro sin contraseñas
Desafortunadamente, la tendencia de descifrar los administradores de contraseñas no es nueva. LastPass ha tenido incidentes de seguridad todos los años desde 2016, y otros importantes administradores de contraseñas como NortonLifeLock, Passwordstate, Dashlane, Keeper, 1Password y RoboForm han sido atacados, comprometidos o han demostrado ser vulnerables, según Best Reviews.
Los ciberdelincuentes se dirigen cada vez más a las empresas de administración de contraseñas porque tienen datos confidenciales que se pueden usar para acceder a millones de cuentas, incluidas cuentas en la nube que alojan sistemas críticos para el negocio y activos digitales. En este entorno competitivo, las prácticas de ciberseguridad, la transparencia, las vulnerabilidades y las filtraciones de datos podrían afectar el futuro de estas empresas de gestión de contraseñas.
Si bien se espera que el mercado de administradores de contraseñas alcance los $ 7.09 mil millones para 2028, no sorprende que un futuro sin contraseña continúe ganando impulso, impulsado por Apple, Microsoft y Google bajo la FIDO Alliance, informó SkyQuest. Lea la entrevista reciente de Tecnopedia con 1Password sobre sus planes para un futuro sin contraseña.
