LastPass informa sobre una nueva brecha de seguridad

December 05, 2024 | 5 minutes read
LastPass informa sobre una nueva brecha de seguridad

El 25 de agosto de 2022, LastPass, una de las aplicaciones de gestión de contraseñas más grandes y populares del mundo, informó de que había sufrido una violación de datos. Al respecto, el CEO de la compañía, Karim Toubba, publicó un blog en el sitio web de la compañía en el que afirmaba que “hemos determinado que una parte no autorizada obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una única cuenta de desarrollador comprometida y se llevó partes del código fuente y alguna información técnica propiedad de LastPass.” Toubba continuó afirmando que esta violación de datos no afectaba a la información personal de los clientes de LastPass, ni a los almacenes de datos de contraseñas cifradas de dichos clientes. Sin embargo, el hecho de que LastPass haya sufrido una segunda brecha de seguridad en dos años seguramente será un acontecimiento inesperado para muchos consumidores y empresas por igual.

En este sentido, el objetivo de utilizar un gestor de contraseñas como LastPass es proteger la información y los datos personales para evitar que personas no autorizadas accedan a ellos, ya que los usuarios de LastPass suelen almacenar un gran número de sus contraseñas en la aplicación. Desde información de cuentas financieras hasta credenciales de acceso de empleados, el contenido de la Bóveda de LastPass de un usuario contendrá generalmente alguna de la información más personal imaginable. No obstante, el hecho de que LastPass pudiera verse implicada en un incidente de violación de datos pone de manifiesto los riesgos a los que se enfrentan todas las empresas y organizaciones en lo que respecta a la ciberdelincuencia y la seguridad de los datos. Sin embargo, la forma en que LastPass está manejando la violación de datos hasta el momento también pone de relieve los grandes esfuerzos que la empresa hace cuando se trata de garantizar que los datos de sus clientes permanezcan seguros en todo momento.

El modelo de “conocimiento cero

A pesar de las formas en que la violación de datos que LastPass experimentó esta semana puede afectar a la percepción general de la empresa, es probable que las afirmaciones que el CEO de la compañía, Karim Toubba, hizo con respecto a la seguridad de los datos personales de los usuarios de LastPass sean ciertas, debido en gran parte a los métodos y técnicas que las aplicaciones de gestión de contraseñas utilizan para salvaguardar esta información en primer lugar. Más concretamente, los gestores de contraseñas como LastPass, así como otras aplicaciones y servicios que se utilizan para almacenar información personal, se basan en las prácticas de protección de datos de “hashing y salting”. LastPass utiliza estas prácticas de protección de datos para facilitar lo que la empresa denomina el Modelo de “Conocimiento Cero”, lo que significa esencialmente que los millones de contraseñas que se guardan en la aplicación son desconocidas para cualquiera que no sea el usuario que ha creado estas contraseñas.

Hashing y salting

En el contexto de la criptografía, el hashing se define como “el estudio de técnicas de comunicación seguras que permiten que sólo el remitente y el destinatario de un mensaje puedan ver su contenido”. Como tal, el hashing funciona para facilitar un proceso unidireccional que puede utilizarse para convertir una contraseña en texto cifrado mediante el uso de algoritmos hash. Un algoritmo hash es una función matemática que se puede utilizar para ocultar información personal y hacerla ilegible, por lo que es ideal para proteger datos como contraseñas. Utilizando un algoritmo hash, las empresas de gestión de contraseñas como LastPass pueden crear valores hash únicos para cada una de sus respectivas contraseñas, lo que dificulta que un ciberdelincuente o un mal actor pueda robar esta información durante una brecha de seguridad, ya que aunque es técnicamente posible revertir el proceso de hash, la potencia de cálculo que es necesaria para hacerlo lo hace muy difícil e inviable en la práctica.

Por otro lado, la práctica del salado se refiere a añadir un carácter o elemento único a un valor antes de realizar el hash, de forma parecida a como un chef añadiría sal a sus patatas fritas para dar a su comida un condimento y sabor adicionales. En este caso, las empresas de gestión de contraseñas como LastPass utilizan la salazón para asignar una cadena o secuencia de caracteres aleatoria a una contraseña concreta, con el objetivo de proporcionar a los usuarios de estos servicios una capa adicional de seguridad. En efecto, un pirata informático que quiera robar información de LastPass tendría que trabajar con dos capas de seguridad distintas, ya que muchos de estos delincuentes se basan en la velocidad para saquear información personal, y el método de salting hace que el robo de contraseñas sea mucho más lento para los malos actores.

Independientemente de los métodos o técnicas tecnológicas que una empresa u organización pueda emplear para proteger a sus clientes, la realidad inevitable de hacer negocios en el siglo XXI es que las violaciones de datos son prácticamente inevitables. Sin embargo, esto no significa que las empresas y organizaciones no tengan la capacidad de reducir y mitigar en gran medida los efectos de un incidente de violación de datos, como ha demostrado la violación de seguridad más reciente de LastPass. Desde el hashing y el salting hasta la redacción, hay una serie de medios que pueden adoptarse para evitar que los ciberdelincuentes roben datos personales, y proteger esos datos debe ser una prioridad absoluta para todas las empresas y organizaciones del mundo.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »