anonym.legal
Volver al BlogTécnico

Lo que la violación de LastPass debería haber...

LastPass cifró los datos de sus usuarios. Las bóvedas aún fueron exfiltradas. Más de 600K registros de Okta siguieron.

March 17, 20268 min de lectura
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

La violación que cambió las suposiciones de seguridad en la nube de las empresas

La violación de LastPass en 2022 no es principalmente una historia sobre gestores de contraseñas. Es una historia sobre lo que sucede cuando las empresas confían en proveedores de la nube con sus datos más sensibles y esa confianza se viola, no por imprudencia, sino por debilidades de implementación que eran invisibles desde el exterior.

LastPass comercializaba una arquitectura de conocimiento cero. La arquitectura no era de conocimiento cero en la práctica. 25 millones de usuarios tuvieron sus bóvedas cifradas exfiltradas. La violación se divulgó por primera vez en agosto de 2022 y se actualizó varias veces hasta finales de 2022 a medida que se expandía el alcance.

Para las empresas en los sectores de salud, finanzas y servicios legales, donde la exposición de datos crea responsabilidad regulatoria, la violación de LastPass no fue un incidente aislado para observar desde la distancia. Fue un adelanto de un problema sistémico.

Los detalles de implementación que importaban

El análisis posterior a la violación reveló dos debilidades críticas de implementación:

Deficiencia en el conteo de iteraciones: LastPass utilizó PBKDF2 para la derivación de claves. Para cuentas más nuevas, usaron 100,100 iteraciones, por debajo de la recomendación de la industria de 600,000. Para cuentas más antiguas (pre-2018 en algunos casos), el conteo de iteraciones era tan bajo como 1 iteración. Contar con menos iteraciones hace que los ataques de fuerza bruta a las bóvedas cifradas sean computacionalmente factibles. Los atacantes que obtuvieron las bóvedas podrían intentar sistemáticamente descifrar las contraseñas maestras.

Exposición de metadatos: Aunque los contenidos de las bóvedas estaban cifrados, los metadatos no lo estaban. Las URL almacenadas en el gestor de contraseñas, los nombres de usuario y los nombres de servicio eran visibles en los datos exfiltrados. Los atacantes podían identificar con qué servicios los usuarios tenían cuentas, lo que permitía ataques de phishing dirigidos y relleno de credenciales incluso sin descifrar la encriptación de la bóveda.

Para los equipos de adquisiciones que evalúan proveedores de seguridad en la nube, el caso de LastPass demuestra que deben responderse dos preguntas por separado: "¿Es la arquitectura de conocimiento cero?" y "¿Es correcta la implementación?"

La violación de Okta: el mismo mes, un mecanismo diferente

En octubre de 2023, Okta divulgó que un actor de amenazas había utilizado una credencial robada para acceder al sistema de soporte al cliente de Okta. La violación expuso más de 600,000 registros de soporte al cliente, incluidos archivos subidos por clientes durante interacciones de soporte.

Okta es una plataforma de seguridad de identidad. La violación no fue un fallo fundamental de la arquitectura, sino un fallo de control de acceso en la cadena de suministro. Se comprometió la credencial de un ingeniero de soporte, y el atacante utilizó el acceso legítimo para alcanzar datos sensibles.

La combinación de LastPass y Okta ilustra los dos modos de fallo que enfrentan los proveedores de la nube empresarial:

  • Fallos de arquitectura: afirmaciones de conocimiento cero no implementadas genuinamente
  • Fallos de control de acceso: credenciales legítimas que conducen a acceso no autorizado a datos

La arquitectura de conocimiento cero aborda el primer modo de fallo. No protege contra un atacante decidido que obtiene credenciales legítimas para sistemas de soporte de proveedores. Pero asegura que incluso un atacante así no pueda acceder a datos en texto plano de los clientes, porque los sistemas de soporte del proveedor nunca tienen acceso a datos que se puedan descifrar.

Los incidentes de seguridad de SaaS aumentaron un 300% de 2022 a 2024

La investigación de AppOmni y Cloud Security Alliance que rastrea incidentes de violaciones de SaaS de 2022 a 2024 encontró un aumento del 300% en los incidentes de seguridad que afectan a las plataformas de SaaS durante este período.

La cifra del 300% no representa un aumento del 300% en la sofisticación de los atacantes. Representa el crecimiento de la adopción de SaaS combinado con la adaptación de los atacantes: a medida que más datos empresariales se trasladaron a plataformas en la nube, los atacantes desplazaron recursos para apuntar a esas plataformas. El ROI de comprometer a un proveedor de SaaS, obteniendo acceso a datos de docenas o cientos de clientes empresariales simultáneamente, es sustancialmente mayor que el de apuntar a empresas individuales.

Para las empresas que construyeron sus procesos de evaluación de seguridad de proveedores en torno a la suposición de que los proveedores de la nube son objetivos seguros, los datos de 2022-2024 requieren una recalibración. La suposición es incorrecta. Los proveedores de SaaS son objetivos prioritarios.

La lista de verificación de auditoría después de LastPass

Para las empresas que reevalúan la seguridad de los proveedores en la nube tras los incidentes de LastPass y Okta, una lista de verificación práctica:

Implementación de cifrado:

  • Solicitar el algoritmo de derivación de claves, el conteo de iteraciones y los parámetros de memoria
  • Confirmar que los conteos de iteraciones cumplan con las recomendaciones actuales de OWASP (600,000 PBKDF2-SHA256 como mínimo, o parámetros equivalentes de Argon2id)
  • Verificar que la derivación de claves ocurra del lado del cliente, no en los servidores del proveedor

Protección de metadatos:

  • Preguntar específicamente qué metadatos se almacenan en texto plano junto con el contenido cifrado
  • Solicitar el modelo de datos que muestre qué campos están cifrados y cuáles son accesibles en escenarios de violación

Controles de acceso al sistema de soporte:

  • Solicitar documentación sobre el acceso de los ingenieros de soporte a los datos de los clientes
  • Confirmar que los sistemas de soporte no pueden acceder a los datos en texto plano de los clientes

Historial de notificación de violaciones:

  • Solicitar la divulgación de todos los incidentes de seguridad anteriores, incluidos aquellos que no alcanzaron los umbrales de divulgación pública
  • Evaluar la transparencia y la integridad de las divulgaciones anteriores

La violación de LastPass fue en parte un fallo de implementación y en parte un fallo de transparencia sobre la implementación. Las empresas que hacen preguntas detalladas antes de la selección de proveedores reciben respuestas que permiten una evaluación de riesgos informada. Las empresas que aceptan afirmaciones de alto nivel — "ciframos sus datos" — heredan el riesgo de descubrir detalles de implementación después de una violación.

Fuentes:

Artículos Relacionados

Técnico

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Técnico

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Técnico

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características