Mensaje para nuestros clientes de LastPass
Quiero comunicarles novedades importantes sobre el incidente de seguridad que hicimos público el 22 de diciembre de 2022. Hemos llegado ya al final de una investigación exhaustiva y no hemos observado ninguna actividad por parte de los atacantes desde el 26 de octubre de 2022.
A lo largo de la investigación, hemos recabado mucha información sobre lo que sucedió y hoy vamos a revelar nuevas conclusiones. Durante este tiempo, hemos invertido una gran cantidad de horas y esfuerzos a reforzar nuestra seguridad y a mejorar el conjunto de actividades de protección. Hoy voy a detallar estas medidas y explicaré también qué otras acciones hemos adoptado para incrementar la seguridad.
Estos son los puntos que vamos a abordar hoy:
- ¿Qué ocurrió y qué medidas adoptamos?
- ¿A qué datos accedieron?
- ¿Qué acciones debería realizar para protegerse o proteger a su empresa?
- Qué hemos hecho para reforzar la seguridad de LastPass
- Qué puede esperar de nosotros
Tenemos el honor de ofrecer nuestros servicios a millones de usuarios y a más de 100.000 empresas, y queremos asegurarnos de todos nuestros clientes tienen la información que necesitan para responder sus preguntas. Debido a la cantidad de datos que vamos a dar, hemos estructurado este comunicado a modo de resúmenes, que incluyen enlaces para ampliar la información sobre cada tema.
Nos hemos tomado muy en serio los mensajes que nos pedían dar información con más frecuencia y con más detalles durante este proceso. La duración de la investigación ha complicado dar una respuesta adecuada en este sentido, pero entendemos y lamentamos la frustración que nuestros primeros comunicados provocaron en las empresas y particulares que confían en nuestros productos. Todos los detalles que daremos hoy y nuestra nueva estrategia de ahora en adelante son un ejemplo de nuestro compromiso de incorporar las demandas de los clientes y comunicar mejor.
Si desea ir directamente a las acciones recomendadas por LastPass para proteger su cuenta o la de su empresa, haga clic
aquí en el caso de los clientes particulares o
aquí en el caso de los administradores de empresas.
¿QUÉ OCURRIÓ Y QUÉ MEDIDAS ADOPTAMOS?
Los dos incidentes que comunicamos el año pasado afectaron a LastPass y a nuestros clientes. Ninguno de estos incidentes fue causado por un defecto en un producto de LastPass ni por el acceso sin autorización a sistemas de producción (o un uso indebido de los mismos). El atacante explotó una vulnerabilidad en un software de terceros, superó los controles existentes y consiguió acceder a entornos de desarrollo y almacenamiento de copias de seguridad que no eran de producción.
Hemos compartido información técnica, indicadores de compromiso (IOC), tácticas del atacante y técnicas y procedimientos (TTP) con las fuerzas del orden y nuestros socios de inteligencia sobre amenazas e información forense. Sin embargo, hasta la fecha se desconoce la identidad del atacante y su motivación. No se ha puesto en contacto con nosotros ni ha realizado peticiones, y tampoco se ha detectado una actividad subterránea creíble que pueda indicar que está tratando activamente de comercializar o vender información obtenida durante uno de los incidentes.
Resumen del incidente 1: el portátil de trabajo de un ingeniero de software quedó expuesto, lo que permitió al atacante acceder sin autorización a un entorno de desarrollo en la nube y robar código fuente, información técnica y determinados secretos del sistema interno de LastPass. No se robaron datos de los clientes ni información de las bóvedas durante este incidente, porque no hay datos de los clientes ni de las bóvedas en el entorno de desarrollo. Dimos el incidente por cerrado, pero más adelante averiguamos que se utilizó información robada en el primer incidente para identificar objetivos e iniciar el segundo incidente.
En respuesta al primer incidente, movilizamos a nuestros equipos de seguridad internos y también recursos de Mandiant. Como parte del proceso de contención, erradicación y recuperación, tomamos las siguientes medidas:
- Eliminamos el entorno de desarrollo y creamos uno nuevo como medida de contención y erradicación.
- Implantamos tecnologías y controles de seguridad adicionales para complementar los controles existentes.
- Rotamos todos los secretos sin cifrar relevantes utilizados por nuestros equipos y todos los certificados expuestos.
Puede consultar los detalles del primer incidente y las medidas correctivas
aquí.
Resumen del incidente 2: el atacante perpetró un ataque contra un ingeniero de desarrollo explotando un software de terceros vulnerable. Aprovechó esta vulnerabilidad para introducir malware, superó los controles existentes y, finalmente, consiguió acceder sin autorización a copias de seguridad en la nube. Entre los datos obtenidos de las copias de seguridad, encontramos datos de configuración del sistema, secretos de API, secretos de integración de terceros y datos cifrados y sin cifrar de clientes de LastPass.
Tras este segundo incidente, movilizamos a nuestro equipo de respuesta ante incidentes y Mandiant. En el marco de las actividades continuas de contención, erradicación y recuperación relacionadas con el segundo incidente, hemos tomado las siguientes medidas:
- Hemos analizado los recursos de almacenamiento en la nube de LastPass y hemos aplicado políticas y controles adicionales.
- Hemos analizado y modificado los controles de acceso con privilegios existentes.
- Hemos rotado secretos y certificados relevantes consultados por el atacante.
Puede consultar más detalles del ataque y las medidas correctivas
aquí.
¿A QUÉ DATOS ACCEDIERON?
Como hemos especificado en los resúmenes de los incidentes, el atacante robó tanto datos propiedad de LastPass como datos de los clientes durante los dos incidentes, entre ellos:
Resumen de los datos consultados en el incidente 1:
- Repositorios de código fuente y desarrollo en la nube bajo demanda: acceso a 14 de 200 repositorios de software.
- Scripts internos de los repositorios: contenían secretos y certificados de LastPass.
- Documentación interna: información técnica que describía el funcionamiento del entorno de desarrollo.
Resumen de los datos consultados en el incidente 2:
- Secretos de operaciones de desarrollo: secretos restringidos que se utilizaron para acceder al almacenamiento de copias de seguridad en la nube.
- Almacenamiento de copias de seguridad en la nube: datos de configuración, secretos de API, secretos de integración de terceros, metadatos de clientes y copias de seguridad de todos los datos de las bóvedas de los clientes. Todos los datos sensibles de las bóvedas de los clientes, salvo URL, rutas de archivo a software de LastPass para Windows o macOS instalado y determinados casos de uso con direcciones de correo electrónico, estaban cifrados utilizando nuestro modelo de conocimiento cero y pueden descifrarse solo con una clave de cifrado única derivada de la contraseña maestra de cada usuario. Cabe recordar que LastPass nunca sabe las contraseñas maestras de los usuarios finales, que no son almacenadas ni conservadas por LastPass, por lo que no forman parte de los datos filtrados.
- Copia de seguridad de la base de datos de la autenticación multifactor/federación de LastPass: contenía copias de valores de inicialización de LastPass Authenticator, números de teléfono utilizados para la opción de copia de seguridad MFA (si estaba activada) y también como componente de conocimiento dividido (la “clave” K2) utilizada para la federación de LastPass (si estaba activada). Esta base de datos estaba cifrada, pero la clave de descifrado guardada por separado figuraba entre los secretos robados por el atacante durante el segundo incidente.
Puede consultar información detallada sobre los datos de los clientes afectados por estos incidentes
aquí.
¿QUÉ ACCIONES DEBERÍA REALIZAR PARA PROTEGERSE O PROTEGER A SU EMPRESA?
Para ayudar a nuestros clientes en sus propias respuestas ante los incidentes, hemos preparado dos boletines de seguridad: uno para nuestros usuarios particulares de los planes Free, Premium y Families, y otro adaptado a los usuarios de Business y Teams. Cada uno de estos boletines de seguridad incluye información pensada para que nuestros clientes puedan proteger su cuenta de LastPass y actuar frente a estos incidentes de seguridad de una forma que les permita dar respuesta a sus necesidades personales o al perfil de seguridad y al entorno de su organización.
- Boletín de seguridad: Acciones recomendadas para los clientes de LastPass Free, Premium y Families. Este boletín guía a los usuarios de estos planes en el proceso de revisión de ajustes importantes de LastPass para asegurarse de que están siguiendo las prácticas recomendadas para proteger su cuenta.
- Boletín de seguridad: Acciones recomendadas para administradores de LastPass Business. Este boletín explica a los administradores de nuestros clientes de Business y Teams cómo realizar una evaluación de riesgos de la configuración de su cuenta de LastPass e integraciones de terceros. Incluye información relevante tanto para los clientes federados como para los no federados.
Si tiene cualquier pregunta sobre las acciones recomendadas, póngase en contacto con la asistencia técnica o con su equipo de éxito del cliente, que estará encantado de ayudarle.
QUÉ HEMOS HECHO PARA REFORZAR LA SEGURIDAD DE LASTPASS
Desde agosto, hemos implantado nuevas tecnologías en nuestra infraestructura, centros de datos y estructuras en la nube para mejorar nuestra estrategia de seguridad. Gran parte de estos cambios estaban ya previstos y se han ejecutado en un tiempo récord, porque se habían iniciado antes de que se produjera el primer incidente.
Hemos priorizado y puesto en marcha inversiones considerables para desplegar las mejores prácticas en seguridad, privacidad y operaciones. Hemos revisado a fondo nuestras políticas de seguridad y hemos introducido cambios para restringir el acceso y los privilegios allí donde era necesario. Hemos hecho un análisis exhaustivo de los controles y configuraciones existentes, y hemos realizado los cambios necesarios para reforzar la protección de los entornos. Hemos empezado a trabajar para ampliar el uso del cifrado en nuestra infraestructura de aplicaciones y copias de seguridad. Por último, hemos comenzado a diseñar iniciativas a largo plazo para la arquitectura con el objetivo de impulsar la evolución de la plataforma en el conjunto de LastPass.
Puede hacer clic
aquí para consultar una lista de todas las acciones llevadas a cabo y todo lo que está en la hoja de ruta actual de seguridad.
QUÉ PUEDE ESPERAR DE NOSOTROS DE AHORA EN ADELANTE
Desde nuestro comunicado del 22 de diciembre, he hablado con muchos de nuestros clientes particulares y de empresa. Soy consciente de su frustración con nuestras dificultades para dar más información inmediatamente y para comunicarnos de una forma más clara y completa durante todo este episodio. Acepto sus críticas y asumo toda la responsabilidad. Hemos aprendido mucho y tenemos el compromiso de mejorar nuestra comunicación de ahora en adelante. Este comunicado es una prueba de ello.
Hace poco más de un año, GoTo y sus inversores anunciaron que LastPass iba a convertirse en una empresa independiente con un nuevo equipo directivo. El objetivo era aprovechar todo el potencial de la compañía y crear la plataforma líder de gestión de contraseñas para empresas. A finales de abril de 2022, me incorporé al equipo como CEO para liderar este esfuerzo.
En los últimos ocho meses, hemos contratado a nuevos ejecutivos para impulsar el crecimiento de la empresa y poner en marcha una nueva estrategia. Entre estas nuevas incorporaciones, hay desde reconocidos veteranos del sector hasta nombres de referencia del ámbito de la seguridad y la tecnología.
En el marco de la fase de crecimiento que iniciará la empresa, hemos hecho una inversión de varios millones de dólares para reforzar la seguridad de los profesionales, los procesos y la tecnología. Esta inversión refleja el compromiso de convertir LastPass en una empresa líder en ciberseguridad y mejorar nuestra protección frente a futuras amenazas.
Muchas gracias por su comprensión y apoyo continuo.
Karim Toubba
CEO de LastPass
