LastPass presenta novedoso informe de seguridad y recomendaciones tras incidente

LastPass fue víctima de dos ataques el año pasado por el mismo actor. Un incidente fue reportado a fines de agosto de 2022 y otro el 30 de noviembre de 2022. La compañía global de administración de contraseñas publicó un informe el miércoles con nuevos hallazgos de su investigación sobre el incidente de seguridad, junto con acciones recomendadas para los usuarios y empresas afectadas.

Índice de Contenido
  1. ¿Cómo ocurrieron los ataques a LastPass y qué se comprometió?
  2. Recomendaciones de seguridad de LastPass
  3. Alternativas a LastPass e impacto de los ataques
  4. Un futuro sin contraseñas

¿Cómo ocurrieron los ataques a LastPass y qué se comprometió?

LastPass presenta novedoso informe de seguridad y recomendaciones tras incidente - Seguridad | Imagen 1 Newsmatic

Según informó LastPass, el hacker inicialmente accedió a la computadora portátil de un ingeniero de software en agosto. El primer ataque fue crítico, ya que el hacker pudo aprovechar la información robada durante el incidente de seguridad inicial. Aprovechando una vulnerabilidad en un paquete de software de terceros, el actor malicioso lanzó el segundo ataque coordinado. El segundo ataque se dirigió al ordenador personal de un ingeniero de DevOps.

"El actor malintencionado logró capturar la contraseña maestra del empleado cuando fue ingresada después de que el empleado se autenticó con MFA y accedió a la bóveda corporativa de LastPass del ingeniero de DevOps", detalla el informe reciente sobre el incidente de seguridad de la compañía.

LastPass ha confirmado que durante el segundo incidente, el atacante accedió a la bóveda de datos de la compañía, que es un almacenamiento de respaldo basado en la nube que contiene datos de configuración, secretos de API, secretos de integración de terceros y metadatos de clientes, además de copias de seguridad de datos de las bóvedas de los clientes. La bóveda de LastPass también incluye acceso al entorno de almacenamiento en la nube compartido que contiene las claves de cifrado para las copias de seguridad de las bóvedas de los clientes almacenadas en los buckets de Amazon S3 donde los usuarios almacenan datos en su entorno de nube de Amazon Web Services.

El segundo ataque fue altamente focalizado y bien investigado, ya que se dirigió a uno de los únicos cuatro empleados de LastPass que tienen acceso a la bóveda corporativa. Una vez que el hacker tenía la bóveda descifrada, exportó las entradas, incluidas las claves de cifrado necesarias para acceder a las copias de seguridad de producción de LastPass en AWS S3, otros recursos de almacenamiento en la nube y copias de seguridad críticas relacionadas de la base de datos.

Recomendaciones de seguridad de LastPass

LastPass emitió recomendaciones para los usuarios y empresas afectados en dos boletines de seguridad. Aquí están los detalles clave de esos boletines.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

El Boletín de Seguridad: Acciones recomendadas para los usuarios gratuitos, premium y familiares de LastPass incluye las mejores prácticas centradas principalmente en las contraseñas maestras, guías para crear contraseñas fuertes y habilitar capas adicionales de seguridad, como la autenticación multifactor. La compañía también instó a los usuarios a restablecer sus contraseñas.

Las contraseñas maestras de LastPass deberían tener idealmente entre 16 y 20 caracteres, contener al menos una letra mayúscula, una letra minúscula, un número, símbolos y caracteres especiales, y ser únicas, es decir, no utilizarse en otro sitio. Para restablecer las contraseñas maestras de LastPass, los usuarios pueden seguir la guía oficial de LastPass.

LastPass también pidió a los usuarios que utilicen el Panel de Seguridad para verificar la fortaleza de su contraseña actual, activar y verificar la función de monitoreo de la dark web y habilitar la autenticación multifactor por defecto. El monitoreo de la dark web alerta a los usuarios cuando sus direcciones de correo electrónico aparecen en foros y sitios web de la dark web.

El Boletín de Seguridad: Acciones recomendadas para los administradores de empresas de LastPass fue preparado exclusivamente después del incidente para ayudar a las empresas que utilizan LastPass. La guía más completa incluye 10 puntos:

  • Longitud y complejidad de la contraseña maestra.
  • Recuentos de iteración para las contraseñas maestras.
  • Mejores prácticas para superadministradores.
  • Secretos compartidos de la autenticación multifactor (MFA).
  • Integración de SIEM Splunk.
  • Exposición debido a datos no cifrados.
  • Eliminación de aplicaciones de contraseñas (enviar sitios a los usuarios).
  • Restablecer SCIM, Enterprise API y claves SAML.
  • Consideraciones para clientes federados.
  • Consideraciones adicionales.

Los usuarios superadministradores de LastPass tienen privilegios adicionales que van más allá de los de un administrador promedio. Dado su amplio poder, la compañía emitió recomendaciones especiales para los usuarios superadministradores después de los ataques. Las recomendaciones para superadministradores de LastPass incluyen lo siguiente:

  • Siga las mejores prácticas para contraseñas maestras y recuentos de iteraciones: Asegúrese de que sus usuarios superadministradores tengan contraseñas maestras fuertes y recuentos de iteraciones altos.
  • Revise los superadministradores con derechos de "Permitir a los superadministradores restablecer contraseñas maestras": Si se permite a los superadministradores restablecer contraseñas maestras y se identifican superadministradores con contraseñas maestras débiles y/o bajos recuentos de iteraciones, la cuenta de LastPass de su empresa puede estar en riesgo. Estos casos deben ser revisados.
  • Realice una revisión de seguridad: Las empresas deben llevar a cabo revisiones de seguridad exhaustivas para determinar las acciones adicionales a tomar en una cuenta de LastPass Business.
  • Acciones posteriores a la revisión: Identifique las cuentas de superadministradores en riesgo y determine los superadministradores que tienen contraseñas maestras o recuentos de iteraciones débiles y tomen las siguientes acciones:
    • Clientes con inicio de sesión federado: Considere desfederar y volver a federar a todos los usuarios y solicite a los usuarios que cambien todas las credenciales de la bóveda.
    • Clientes sin inicio de sesión federado: Considere restablecer las contraseñas maestras de los usuarios y solicite a los usuarios que cambien todas las credenciales de la bóveda.
  • Rotación de credenciales: LastPass sugiere utilizar un enfoque basado en el riesgo para priorizar la rotación de las credenciales críticas en las bóvedas de los usuarios finales.
  • Revise los superadministradores con derechos de "Permitir a los superadministradores acceder a carpetas compartidas": Restablezca la contraseña maestra si se determina que la contraseña del superadministrador es débil. Rote las credenciales en las carpetas compartidas.
  • Investigue la MFA: Genere el informe de autenticación multifactor habilitada para mostrar los usuarios que han habilitado una opción de MFA, incluidas las soluciones de MFA que están utilizando.
  • Restablezca los secretos de MFA: Para LastPass Authenticator, Google Authenticator, Microsoft Authenticator o Grid, restablezca todos los secretos de MFA.
  • Envíe un correo electrónico a los usuarios: El restablecimiento de los secretos compartidos de MFA destruye todas las sesiones y dispositivos confiables de LastPass. Los usuarios deben iniciar sesión nuevamente, pasar por la verificación de ubicación y volver a habilitar sus respectivas aplicaciones de MFA para seguir utilizando el servicio. LastPass recomienda enviar un correo electrónico proporcionando información sobre el proceso de reinscripción.
  • Comuníquese: Comunique los informes de incidentes de seguridad y las acciones a tomar. Advierta a los usuarios sobre las técnicas de phishing y de ingeniería social.

Alternativas a LastPass e impacto de los ataques

LastPass ha expresado confianza en que ha tomado las acciones necesarias para contener y erradicar el acceso futuro al servicio; sin embargo, según Wired, la última divulgación de LastPass fue tan preocupante que los profesionales de seguridad rápidamente "empezaron a pedir a los usuarios que cambien a otros servicios". Los principales competidores de LastPass incluyen 1Password y Dashlane.

Cómo proteger tu computadora de los virus: métodos y consejos

Expertos también han cuestionado la transparencia de LastPass, que no fecha sus declaraciones de incidentes de seguridad y aún no ha aclarado exactamente cuándo ocurrió el segundo ataque ni cuánto tiempo estuvo el hacker dentro del sistema. El tiempo que un hacker tiene dentro de un sistema afecta significativamente la cantidad de datos y sistemas que pueden ser explotados. (Me puse en contacto con LastPass para obtener un comentario, pero no recibí respuesta al momento de la publicación.)

Para los usuarios de LastPass, las consecuencias de estos recientes incidentes de seguridad son evidentes. Si bien la compañía asegura que no hay indicios de que los datos comprometidos se estén vendiendo o comercializando en la dark web, los administradores de empresas se enfrentan a las extensas recomendaciones emitidas por LastPass.

Un futuro sin contraseñas

Desafortunadamente, la tendencia de piratear administradores de contraseñas no es nueva. LastPass ha experimentado incidentes de seguridad todos los años desde 2016, y otros principales administradores de contraseñas como Norton LifeLock, Passwordstate, Dashlane, Keeper, 1Password y RoboForm también han sido atacados o demostraron ser vulnerables, según Best Reviews.

Los ciberdelincuentes cada vez atacan más a las compañías de administración de contraseñas porque tienen datos sensibles que se pueden utilizar para acceder a millones de cuentas, incluidas las cuentas en la nube donde se alojan sistemas críticos para las empresas y activos digitales. En este panorama altamente competitivo, las prácticas de ciberseguridad, la transparencia, las brechas y la filtración de datos pueden influir en el futuro de estas compañías de administración de contraseñas.

Aunque se espera que el mercado de administradores de contraseñas alcance los $7,09 mil millones para 2028, según los informes de SkyQuest, no es sorprendente que un futuro sin contraseñas continúe ganando impulso, impulsado por Apple, Microsoft y Google bajo la alianza FIDO. Lee la entrevista reciente de Newsmatic con 1Password sobre sus planes para un futuro sin contraseñas.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a LastPass presenta novedoso informe de seguridad y recomendaciones tras incidente , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.