¿Cómo ocurrió la brecha de datos de LastPass y cómo evitarla?

La brecha de datos de LastPass de 2022-2023 sirve como recordatorio de cómo los ciberataques sofisticados pueden derivar en desastres de seguridad a largo plazo. Este análisis exhaustivo desglosa el incidente, su impacto y las lecciones cruciales para las organizaciones que buscan fortalecer su postura de seguridad.

El impacto: en cifras#

Las consecuencias de la brecha han sido graves y duraderas:

• 33 millones de usuarios afectados
• 4,4 millones de dólares estadounidenses robados a más de 25 víctimas
• 5 millones de dólares estadounidenses supuestamente robados en una sola semana
• 15 millones de dólares estadounidenses robados en criptomonedas

Puntos clave#

• Una sola cuenta de desarrollador comprometida provocó una brecha que afectó a 33 millones de usuarios de LastPass.
• Los atacantes obtuvieron acceso a bóvedas de contraseñas encriptadas y a la información de los clientes.
• Se han robado más de 15 millones de dólares estadounidenses en robos de criptomonedas vinculados a esta brecha.
• El incidente puso de manifiesto vulnerabilidades críticas en la seguridad del trabajo remoto y en la respuesta a incidentes.

Compromiso inicial: agosto de 2022#

La brecha comenzó cuando los atacantes obtuvieron acceso no autorizado al entorno de desarrollo de LastPass a través de una única cuenta de desarrollador comprometida. En esta etapa, los atacantes obtuvieron:

• Partes del código fuente de LastPass
• Información técnica patentada
• Acceso a recursos del entorno de desarrollo

Escalada: noviembre/diciembre de 2022#

Lo que inicialmente parecía contenido escaló rápidamente cuando los atacantes aprovecharon la información robada para:

• Acceder al servicio de almacenamiento en la nube de terceros de LastPass
• Obtener copias de seguridad de los datos de las bóvedas de los clientes
• Comprometer la información de las cuentas de los clientes no encriptada

Desarrollo crítico: marzo de 2023#

En una actualización reveladora, LastPass comunicó que los atacantes habían:

• Comprometido la computadora personal de un ingeniero senior de DevOps
• Explotado una vulnerabilidad en un software multimedia de terceros
• Implementado malware de registro de teclas para capturar contraseñas maestras
• Obtenido acceso a claves de desencriptación críticas

¿Qué datos se vieron comprometidos?#

Información de clientes#

• Nombres de empresas
• Nombres de usuarios finales
• Direcciones de facturación
• Direcciones de correo electrónico
• Números de teléfono
• Direcciones IP

Datos técnicos#

• Copias de seguridad de bóvedas de clientes
• Secretos de DevOps
• Almacenamiento de copias de seguridad en la nube
• Copias de seguridad de bases de datos de federación y MFA

Lecciones de seguridad esenciales para las organizaciones#

1. Implementar una segmentación de red sólida#

• Separar los sistemas y datos críticos
• Crear zonas de seguridad con diferentes niveles de acceso
• Implementar controles de acceso estrictos entre segmentos
• Supervisar el tráfico entre los segmentos de la red

2. Fortalecer la seguridad del trabajo remoto#

• Establecer políticas claras para los dispositivos de trabajo desde casa
• Restringir la instalación de software personal en dispositivos de trabajo
• Implementar una protección de endpoints sólida
• Realizar auditorías de seguridad periódicas de la configuración de trabajo remoto

3. Mejorar la respuesta a incidentes y la comunicación#

• Desarrollar procedimientos claros de respuesta a incidentes
• Mantener una comunicación transparente con las partes interesadas
• Documentar y actualizar los incidentes de seguridad con prontitud
• Proporcionar actualizaciones periódicas durante incidentes en curso

4. Gestión mejorada de contraseñas y accesos#

• Implementar la autenticación multifactor en todos los sistemas
• Requerir contraseñas seguras y únicas para cada cuenta
• Rotación periódica de contraseñas y auditorías de seguridad
• Utilizar gestores de contraseñas con funciones de seguridad sólidas

Medidas preventivas para las organizaciones#

1. Controles técnicos#

• Implementar una arquitectura de confianza cero
• Desplegar protección avanzada de endpoints
• Evaluaciones de seguridad y pruebas de penetración periódicas
• Supervisión y registro continuos

2. Controles administrativos#

• Capacitación periódica en seguridad para los empleados
• Políticas y procedimientos de seguridad claros
• Gestión de riesgos de proveedores
• Planificación de respuesta a incidentes

Conclusión#

La brecha de datos de LastPass sirve como una lección crucial sobre la importancia de las medidas de seguridad integrales y de una respuesta adecuada a incidentes. Las organizaciones deben adoptar un enfoque proactivo respecto a la seguridad, implementando múltiples capas de protección y preparándose para posibles brechas. Al aprender de este incidente, las empresas pueden proteger mejor sus activos y mantener la confianza de sus clientes.

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →

Preguntas frecuentes#

¿Cómo lograron los atacantes escalar desde una cuenta de desarrollador hasta acceder a las bóvedas de los clientes en la brecha de LastPass?#

Los atacantes utilizaron el código fuente y la información técnica robada del entorno de desarrollo de LastPass en agosto de 2022 para acceder a un servicio de almacenamiento en la nube de terceros que contenía copias de seguridad de las bóvedas de los clientes. Esta escalada de múltiples etapas se desarrolló durante varios meses antes de que se revelara su alcance total a principios de 2023.

¿Por qué las bóvedas encriptadas de LastPass se consideraron en riesgo después de la brecha?#

Los atacantes obtuvieron tanto las copias de seguridad de las bóvedas encriptadas como, de manera crítica, las claves de desencriptación al implementar un registrador de teclas en la computadora personal de un ingeniero senior de DevOps. La captura de las contraseñas maestras junto con las claves de desencriptación significó que la encriptación por sí sola no podía proteger completamente los datos de los clientes.

¿Qué fallos de seguridad en el trabajo remoto empeoraron la brecha de LastPass?#

La computadora personal de un ingeniero senior de DevOps se vio comprometida a través de una vulnerabilidad en un software multimedia de terceros, un riesgo que las políticas sólidas de protección de endpoints para dispositivos de trabajo remoto están diseñadas para prevenir. Restringir la instalación de software personal y hacer cumplir las auditorías de seguridad en las configuraciones domésticas son mitigaciones clave.

¿Qué tipos específicos de datos quedaron expuestos en la brecha de LastPass de 2022-2023?#

Los datos expuestos abarcaron dos categorías: información del cliente, incluidos nombres, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP, además de datos técnicos que cubren copias de seguridad de bóvedas de clientes, secretos de DevOps, almacenamiento de copias de seguridad en la nube y copias de seguridad de bases de datos de federación y MFA. Esta combinación de datos personales y de infraestructura hizo que la brecha fuera especialmente dañina.