LastPass vuelve a estar bajo la lupa tras una nueva filtración que no golpeó directamente sus servidores, pero sí expuso datos vinculados a la compañía. La noticia ha encendido de nuevo las alarmas entre usuarios y expertos en ciberseguridad: aunque las bóvedas de contraseñas no parecen haber sido accesadas, la información obtenida por los atacantes tiene potencial para facilitar fraudes y ataques de ingeniería social.
La intrusión se originó en una plataforma comercial utilizada por LastPass, y desde allí los atacantes aprovecharon credenciales para adentrarse en entornos corporativos. A continuación se detalla cómo ocurrió el incidente, qué datos podrían estar comprometidos, quién estaría detrás y qué pasos deben considerar los usuarios afectados.
Origen del incidente: la brecha en Klue y el uso de tokens OAuth
Según reportes periodísticos, la intrusión no se produjo en LastPass sino en Klue, una herramienta empleada por la compañía para operaciones empresariales. Los atacantes obtuvieron acceso a tokens OAuth que Klue almacenaba en nombre de sus clientes, y con esas credenciales consiguieron entrar en sistemas de terceros vinculados.
Qué son los tokens OAuth y por qué son valiosos
- Los tokens OAuth permiten a aplicaciones autorizar acceso entre servicios sin compartir contraseñas.
- Si un token se filtra, un atacante puede actuar con los permisos que ese token confiere hasta que sea revocado.
- En este caso, los tokens expuestos sirvieron para acceder al entorno de Salesforce de LastPass, según las fuentes.
Tipos de información comprometida y riesgos inmediatos
Los datos que, según los informes, salieron del sistema incluyen nombres de usuarios y contactos, correos electrónicos, números de teléfono y direcciones físicas. También habrían extraído registros de tickets de soporte y documentación relacionada con ventas.
- Datos personales básicos: nombre, correo electrónico, teléfono y dirección.
- Registros de soporte: pueden contener fragmentos sensibles relacionados con facturación o recuperación de cuentas.
- Riesgos: esos datos facilitan phishing, suplantación de identidad y campañas de ingeniería social dirigidas.
Puesto que los tickets de soporte a menudo contienen detalles sobre problemas de acceso o pagos, su filtración podría revelar información suficiente para intentar tomar control de otras cuentas o para construir estafas más creíbles. No se ha precisado públicamente el contenido exacto de esos tickets, por lo que la naturaleza completa de la exposición sigue sin confirmarse.
LastPass y su historial de seguridad: por qué preocupa a la comunidad
LastPass llega a este episodio con una reputación dañada por incidentes previos. En 2022 sufrió una intrusión más grave en la que los atacantes consiguieron copias de las bóvedas cifradas de los usuarios. Aunque esas bóvedas estaban protegidas por contraseñas maestras individuales, algunos usuarios con claves débiles vieron sus credenciales descifradas y se produjeron robos, incluso de activos como billeteras de criptomonedas.
Este nuevo incidente, aunque de menor alcance técnico respecto a las bóvedas cifradas, golpea la confianza porque:
- Implica exposición de datos personales que pueden ser usados para ataques dirigidos.
- Demuestra la superficie de riesgo asociada a terceros con integraciones o permisos (como Klue).
- Recuerda a los usuarios que la seguridad de una plataforma también depende de la higiene y protección de sus proveedores.
Responsables del ataque: el grupo Icarus y la amenaza de extorsión
Las investigaciones y reportes apuntan a un colectivo autodenominado Icarus como autor de varios ataques aprovechando la brecha en Klue. Este grupo habría exigido un rescate y amenazado con publicar los datos si no se accedía a sus demandas.
La dinámica habitual en este tipo de extorsiones incluye:
- Exfiltración de información sensible.
- Contactar a la víctima con la amenaza de divulgación pública si no hay pago.
- Intentos de vender los datos o utilizarlos para presionar a otras organizaciones relacionadas.
Klue aún no ha dado cifras claras sobre cuántos clientes se vieron afectados ni si ha habido comunicaciones oficiales con los atacantes, mientras que LastPass asegura haber sido notificada al detectar la intrusión.
Medidas adoptadas por LastPass y recomendaciones para usuarios
LastPass ha informado que no se detectó acceso a sus infraestructuras internas y que las contraseñas almacenadas en las bóvedas de usuarios no fueron comprometidas. La compañía también ha eliminado o rotado los tokens OAuth que estuvieron expuestos como parte de la respuesta al incidente.
Aun así, la empresa recomienda precaución y vigilancia frente a posibles intentos de fraude. Entre las acciones prácticas y preventivas que conviene considerar:
- Vigilar comunicaciones sospechosas: correos, llamadas o mensajes que pidan información personal o contraseñas.
- No compartir la contraseña maestra: ningún representante legítimo de LastPass solicitará esa clave.
- Activar autenticación multifactor (MFA): para cuentas críticas y el propio gestor de contraseñas.
- Revisar actividad de cuentas vinculadas: comprobar inicios de sesión y cambios inusuales en servicios conectados vía OAuth.
- Actualizar credenciales débiles: cambiar contraseñas antiguas o reutilizadas por otras únicas y robustas.
Qué observar en las próximas horas y señales de alerta
Tras una filtración que involucra datos personales, conviene estar atento a determinados indicadores:
- Correos de phishing que utilicen información real para ganar credibilidad.
- Llamadas o mensajes pidiendo confirmar datos personales o credenciales.
- Anuncios de publicaciones de datos en foros o mercados de la darknet por parte de grupos de extorsión.
- Alertas de los proveedores (LastPass, Klue) con instrucciones específicas para clientes afectados.
En caso de recibir intentos de extorsión o comunicación sospechosa, documentar y reportar el incidente a soporte oficial y a las autoridades competentes suele ser la vía más segura.
Artículos similares
- Chrome activa protección invisible contra el robo de datos
- Cuentas online antiguas: por qué son un peligro y cómo borrarlas
- Comisión Europea hackeada: atacante amenaza con filtrar 350 GB de datos
- Apple cambia contraseñas filtradas automáticamente con IA
- Gestor de contraseñas de Google: qué es, dónde encontrarlo y trucos útiles
Tomás Villalba es un periodista especializado en ciencia y tecnología. Sus artículos destacan la inteligencia artificial, el espacio, la robótica y las innovaciones digitales que están transformando el mundo. Con un estilo claro y preciso, ayuda a los lectores a comprender los avances que influyen en su vida diaria.
