LastPass, el popular administrador de contraseñas, recientemente anunció que fue hackeado. Específicamente, el CEO de la empresa Karim Toubba escribió que “grupos no autorizados accedieron al ambiente de desarrollo de LastPass y tomaron porciones del código fuente e información técnica”.

Esta no es la primera vez que LastPass tiene problemas de seguridad. En 2021 usuarios advirtieron que las credenciales maestras del administrador de contraseñas fueron reveladas. LastPass contestó que eso no había sucedido pero usuarios no estaban convencidos ya que recibieron correos de alertas que personas anónimas trataron de loguearse en sus cuentas.

En 2020, LastPass tuvo una interrupción importante y los usuarios informaron que no podían iniciar sesión en sus cuentas ni autocompletar contraseñas. En 2019, los investigadores de seguridad también descubrieron un importante problema de seguridad de LastPass.

Ninguno de estos problemas por sí solo es tan malo. Sí, es horrible que la cuenta de un desarrollador haya sido pirateada, pero sucede.

Dicho esto, sigue siendo preocupante que la mayor empresa de seguridad de contraseñas, con 20 millones de clientes declarados, tenga importantes problemas de seguridad anuales.

Cierto, como afirmó Toubba, con el hackeo de esta semana, “no hemos visto evidencia de que este incidente involucre ningún acceso a datos de clientes o bóvedas de contraseñas encriptadas”. Pero con el código fuente patentado y los secretos técnicos revelados, la posibilidad de un ataque que podría revelar las contraseñas de los usuarios ciertamente existe.

Este es otro ejemplo más de cómo el código propietario es menos seguro que el código abierto. Con los programas de contraseñas de código abierto, como Bitwarden, expertos independientes verifican todo el código. Esto garantiza que las posibles debilidades de seguridad puedan detectarse antes de que se conviertan en agujeros de seguridad.

En este caso, sin embargo, LastPass ha “contratado a una firma forense y de ciberseguridad líder” para investigar lo sucedido. LastPass también está implementando medidas de seguridad mejoradas. No han visto “más evidencia de actividad no autorizada”.

LastPass, con su modelo de conocimiento cero, sigue siendo una buena empresa de seguridad de contraseñas. Pero si quieres buscar otro administrador de contraseñas, no estaría mal.

Fuente: Steven Vaughan-Nichols de zdnet.com