Me enteré que LastPass sufrió otra filtración de datos. Esta vez no fue un hackeo directo a sus servidores, sino un ataque por la cadena de suministro: la empresa de investigación de mercado Klue fue comprometida y desde ahí se accedió a información de clientes de LastPass. Nombres, teléfonos, correos, direcciones físicas y datos de casos de soporte.
La buena noticia: los cofres de contraseñas no se vieron afectados. La mala: es la tercera vez que LastPass aparece en las noticias por problemas de seguridad en once años. Y eso, para una empresa que vende seguridad, es un problema serio.
¿Por qué me importa esto?
Trabajo con sistemas hace años y una regla de oro que aprendí en la pega es: la confianza en un proveedor no te protege de sus proveedores. LastPass puede tener los mejores ingenieros del mundo, pero si contratan a una empresa externa que no cuida sus datos, la filtración llega igual. Es como poner una puerta blindada en tu casa y dejar la ventana del vecino abierta.
Esta vez los atacantes usaron dominios falsos como baccarat.com.au y robinskitchen.com.au para enviar correos de phishing. Es decir, no solo robaron datos, sino que ahora tienen material para engañar a los usuarios con correos que parecen legítimos. Si eres cliente de LastPass, estate atento a correos raros que pidan que cambies tu contraseña o verifiques tu cuenta.
Mi opinión: es hora de reconsiderar
Yo usé LastPass hace años, antes de que pasaran todas estas cosas. Después de la filtración de 2022, donde se robaron copias de seguridad en la nube con datos de los cofres (aunque encriptados), decidí cambiarme. No porque el cifrado de LastPass sea malo, sino porque la frecuencia de incidentes me hace pensar que algo en su cultura de seguridad no funciona bien.
Hay alternativas como Bitwarden (open source), 1Password o incluso soluciones locales como KeePass. Ninguna es perfecta, pero al menos no tienen un historial de filtraciones recurrentes. Además, con Bitwarden puedes hostear tu propio servidor si eres paranoico como yo.
¿Qué hacer si eres usuario de LastPass?
No es necesario entrar en pánico. Los cofres están seguros, según la empresa. Pero sí te recomiendo:
1. Activa la autenticación de dos factores (2FA) en todas las cuentas importantes, no solo en LastPass.
2. Cuidado con el phishing: no hagas clic en enlaces de correos que digan ser de LastPass. Entra directamente a la página.
3. Considera migrar: no es difícil exportar tus contraseñas desde LastPass e importarlas a otro gestor.
La ciberseguridad no es solo tecnología, también es gestión de riesgos. Y cuando un proveedor te falla tres veces, el riesgo de quedarse empieza a ser más alto que el de cambiarse.
Fuente de inspiración: LastPass notifies users of yet another data breach – 9to5Mac
