Confirmado: los atacantes robaron código fuente de LastPass
Los responsables de LastPass han indicado que el problema de seguridad, sacado a la luz recientemente, no tiene la gravedad indicada. Solo se ha robado parte del código fuente de la aplicación.
Esta semana se mostraron varias noticias en las que se informaba que uno de los gestores de contraseñas más populares, LastPass, había sido hackeado. En principio se recomendaba que se cambiase, en la cuenta personal, la contraseña, con el fin de evitar el acceso de los ciberdelincuentes a las distintas configuraciones.
Según la información publicada el pasado día 25 de agosto, Notice of Recent Security Incident, el director general de la empresa de soporte de LastPass, Karim Toubba, se sabe que los atacantes no han accedido a ningún dato de usuario o contraseña cifrada. Se sabe que lo que han hecho es robar parte del código fuente de LastPass.
Sobre el ataque
Toubba explica que la empresa ha “implementado medidas adicionales de seguridad con importantes mejoras”. Con ello han contenido las consecuencias del ataque, que se detectó hace dos semanas. La compañía no hizo comentarios sobre cuánto tiempo había estado ocurriendo la violación antes de que fuera detectada.
Los usuarios de LastPass no tendrán que hacer nada. Podrán seguir utilizando la aplicación sin ningún problema. No necesitarán cambiar la contraseña maestra ni realizar una auditoría de la misma. El trabajo necesario para contrarrestar las consecuencias del ataque lo están realizando los responsables de LastPass.
A tener en cuenta
Está claro que los piratas informáticos que tienen acceso al código fuente de una aplicación no significa que puedan piratearlo de inmediato, modificando su estructura. A pesar de lo que ha surgido con LastPass ello no significa que esté activo un problema de seguridad en la empresa.
Si accedemos a la página de LastPass en Wikipedia (en inglés), podemos leer con tranquilidad todos los ataques de seguridad que ha sufrido la aplicación desde el año 2011. En el aviso del incidente de seguridad que indicamos arriba, publicado también en inglés, nos dicen lo siguiente:
«En respuesta al incidente, implementamos medidas de contención y mitigación, y contratamos a una firma líder en ciberseguridad y análisis forense. Si bien nuestra investigación está en curso, hemos logrado un estado de contención, implementamos medidas de seguridad mejoradas adicionales y no vemos más evidencia de actividad no autorizada«.
Conclusión
Si tienes instalada la aplicación LastPass en tu equipo, no necesitas tomar una decisión tajante: no es necesario que efectúes lo desinstalación de la misma. Como podemos deducir, las primeras noticias que hablan del tema son altamente alarmistas. En ellas se habla de que deben ser los usuarios los que lleven a cabo los cambios, algo, que como vemos ahora, no es necesario.
