anonym.legal

By · Last updated 2026-03-17

Volver al BlogTécnico

Lo que la violación de LastPass debería haber...

LastPass cifró los datos de sus usuarios. Las bóvedas aún fueron exfiltradas. Más de 600K registros de Okta siguieron.

March 17, 20268 min de lectura
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

La brecha que cambió la seguridad en la nube

Actualizado para 2026

La brecha de LastPass de 2022 no es principalmente una historia sobre gestores de contraseñas. Es una historia sobre confianza. Las empresas confiaron datos sensibles a un proveedor en la nube. Esa confianza se rompió — no por imprudencia, sino por fallos ocultos.

LastPass vendía un diseño de conocimiento cero. En la práctica, no era realmente de conocimiento cero. 25 millones de usuarios tuvieron sus bóvedas cifradas robadas. La brecha se divulgó por primera vez en agosto de 2022. LastPass actualizó sus comunicados varias veces hasta finales de 2022 a medida que el alcance completo quedó claro.

Para empresas de salud, finanzas y derecho, esto no fue una noticia lejana. Estos sectores enfrentan responsabilidad directa cuando los datos se filtran. El caso LastPass fue una advertencia clara de un problema más amplio.

Dos fallos que hicieron posible la brecha

El análisis posterior a la brecha encontró dos debilidades clave.

Derivación de clave débil. LastPass usaba PBKDF2 para la derivación de clave. Las cuentas más recientes tenían 100.100 iteraciones. La OWASP recomienda 600.000. Para cuentas más antiguas — algunas anteriores a 2018 — el número era tan bajo como 1 iteración. Menos iteraciones hacen los ataques de fuerza bruta rápidos y baratos. Los atacantes con los archivos de bóveda podían probar contraseñas maestras a gran velocidad.

Metadatos en texto claro. Los contenidos de las bóvedas estaban cifrados. Pero los metadatos no. URLs, nombres de usuario y nombres de servicios eran visibles en los datos robados. Los atacantes podían ver qué servicios usaba cada usuario. Eso permitía phishing dirigido y relleno de credenciales — sin necesidad de descifrar la bóveda.

Este caso muestra por qué dos preguntas deben hacerse por separado. "¿Es el diseño de conocimiento cero?" es una pregunta. "¿Es la implementación correcta?" es otra.

Okta en 2023: un camino diferente, el mismo resultado

En octubre de 2023, Okta reportó una brecha. Una credencial robada dio a un atacante acceso a su sistema de soporte al cliente. La brecha expuso 600.000+ registros de soporte. Estos incluían archivos subidos por clientes durante sesiones de soporte.

Okta es una plataforma de seguridad de identidad. El problema no fue un fallo de diseño. Fue un fallo de control de acceso. Las credenciales de un ingeniero de soporte fueron robadas. El atacante usó ese inicio de sesión válido para acceder a datos sensibles.

LastPass y Okta muestran los dos caminos principales hacia una brecha de proveedor:

  • Fallos de diseño — promesas de conocimiento cero mal implementadas
  • Fallos de control de acceso — credenciales válidas usadas para acceder a datos no autorizados

La arquitectura de conocimiento cero previene el primer tipo. No detiene a un atacante con credenciales de soporte válidas. Pero sí impide que ese atacante lea datos de clientes en texto claro. El proveedor nunca almacena contenido descifrable. Consulte nuestro resumen de seguridad y cumplimiento para más detalles.

Los incidentes SaaS aumentaron un 300 % en dos años

Obsidian Security encontró un aumento del 300 % en incidentes de seguridad SaaS de 2022 a 2024.

Esto no refleja un aumento del 300 % en las habilidades de los atacantes. Dos fuerzas lo impulsaron. La adopción de SaaS creció rápido. Los atacantes siguieron los datos. Una sola brecha de proveedor puede exponer datos de docenas de clientes empresariales a la vez. Esa relación coste-beneficio favorece atacar a los proveedores en lugar de a empresas individuales.

Las empresas que asumían que las plataformas en la nube eran seguras deben actualizar esa visión. Los proveedores SaaS son ahora objetivos prioritarios.

Preguntas para cualquier proveedor en la nube

Esta lista cubre las áreas esenciales.

Cifrado:

  • Solicite el algoritmo de derivación de clave, el número de iteraciones y los parámetros de memoria.
  • Confirme que el número de iteraciones cumple los mínimos de OWASP: 600.000 PBKDF2-SHA256 o Argon2id equivalente.
  • Verifique que la derivación de clave se ejecuta en su dispositivo, no en los servidores del proveedor.

Exposición de metadatos:

  • Pregunte qué metadatos se almacenan en texto claro junto al contenido cifrado.
  • Solicite un modelo de datos que muestre qué campos están cifrados y cuáles serían visibles en una brecha.

Acceso de soporte:

  • Pregunte si el personal de soporte puede acceder a los datos de los clientes.
  • Confirme que los sistemas de soporte no pueden acceder al texto claro de los clientes.

Historial de incidentes:

  • Solicite todos los incidentes de seguridad anteriores, incluidos los que no alcanzaron el umbral de divulgación pública.
  • Evalúe la integridad y transparencia de las divulgaciones previas.

La brecha de LastPass fue un fallo de implementación y un fallo de transparencia. Los proveedores con respuestas concretas permiten una evaluación real de riesgos. Los que ofrecen afirmaciones vagas ocultan riesgos que suelen aparecer solo después de una brecha. Consulte nuestro resumen de cumplimiento para orientación en la evaluación de proveedores.

anonym.legal utiliza arquitectura de conocimiento cero para la anonimización de datos personales. La derivación de clave se ejecuta mediante Argon2id en su navegador o aplicación de escritorio. El cifrado ocurre antes de que los datos abandonen su dispositivo. Los servidores almacenan solo texto cifrado que no pueden descifrar. Más información.

Fuentes

Artículos Relacionados

Técnico

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Técnico

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Técnico

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.