anonym.legal
Volver al BlogTécnico

Por qué 'Encriptamos tus datos' No Es Suficiente...

$438 millones robados a usuarios de LastPass después de que sus bóvedas 'encriptadas' fueran violadas.

March 16, 20268 min de lectura
zero-knowledge evaluationvendor security assessmentLastPass breachcloud encryption claimsGDPR Article 32

La Brecha Entre la Reclamación y la Arquitectura

Cada proveedor de nube que maneja datos sensibles hace alguna versión de la misma reclamación: "Encriptamos tus datos." La reclamación es casi siempre cierta — y casi siempre insuficiente.

La violación de LastPass en 2022 es el estudio de caso definitivo. LastPass encriptó las bóvedas de contraseñas de sus usuarios. Usaron encriptación. La reclamación era precisa. Y, sin embargo, 25 millones de usuarios tuvieron sus bóvedas encriptadas exfiltradas, y $438 millones fueron robados de los usuarios de LastPass en robos de criptomonedas posteriores hasta 2025, según investigaciones de Coinbase Institutional.

La Oficina del Comisionado de Información del Reino Unido multó a la entidad de LastPass en el Reino Unido con £1.2 millones en diciembre de 2025 por "no implementar medidas de seguridad técnicas y organizativas apropiadas." La encriptación existía. Las medidas de seguridad no cumplían con el estándar requerido.

Para las empresas que evalúan herramientas de privacidad en la nube —incluidas las plataformas de anonimización de PII— el precedente de LastPass cambia la pregunta de adquisición. La pregunta no es "¿encriptan nuestros datos?" Es "¿pueden desencriptar nuestros datos?"

Las Cuatro Preguntas de Conocimiento Cero Que Realmente Importan

Al evaluar la reclamación de conocimiento cero de un proveedor, cuatro preguntas determinan si la arquitectura es genuina:

1. ¿Dónde ocurre la derivación de claves?

En una verdadera arquitectura de conocimiento cero, la derivación de claves de encriptación ocurre del lado del cliente —en el navegador o en la aplicación de escritorio— antes de que se transmita cualquier dato. La clave derivada se utiliza para encriptar datos localmente. Solo el texto cifrado viaja a los servidores del proveedor.

Si el proveedor deriva claves de encriptación en sus servidores, ellos tienen las claves. Si tienen las claves, pueden desencriptar. La reclamación es técnicamente precisa ("encriptamos") pero engañosa en su implicación.

2. ¿El proveedor alguna vez tiene acceso al texto plano?

Algunas herramientas encriptan datos en reposo pero los desencriptan para procesamiento —ejecutando modelos de IA, análisis, indexación de búsqueda o generación de registros de auditoría. Durante la ventana de procesamiento, el texto plano es accesible en la infraestructura del proveedor. Una violación durante esa ventana expone los datos en forma no encriptada.

3. ¿Qué sucede bajo proceso legal?

Si una agencia gubernamental entrega una citación al proveedor, ¿qué datos pueden producir? Un proveedor con claves del lado del servidor puede ser obligado a producir contenido desencriptado. Un proveedor con arquitectura de conocimiento cero solo puede producir texto cifrado —incluso bajo coacción legal, no tienen nada útil que entregar.

4. ¿Qué expone una completa violación del servidor?

En una implementación genuina de conocimiento cero, una violación completa de la infraestructura del proveedor solo produce blobs encriptados. El atacante recibe texto cifrado sin las claves para desencriptarlo. En una implementación con claves controladas por el proveedor, una violación del servidor expone las claves junto con los datos.

La Fallida Implementación de LastPass

La violación de LastPass reveló una brecha específica de implementación: cuentas más antiguas usaban PBKDF2 con tan solo 1 iteración para la derivación de claves, en lugar de las 600,000 iteraciones recomendadas. La derivación de claves más débil hizo que los ataques de fuerza bruta en las bóvedas exfiltradas fueran computacionalmente factibles.

Esto ilustra por qué evaluar las reclamaciones de conocimiento cero requiere examinar los detalles de implementación, no solo las descripciones arquitectónicas. Un proveedor puede usar un diseño de conocimiento cero mientras lo implementa débilmente. Las preguntas correctas a hacer cubren tanto la arquitectura (ubicación de la derivación de claves) como la fortaleza de la implementación (algoritmo y conteo de iteraciones).

La Violación de Okta: Un Modo de Fallo Diferente

En octubre de 2023, Okta reveló que se filtraron más de 600,000 registros de soporte al cliente en una violación. Okta es una plataforma de identidad —la empresa que muchas empresas utilizan para asegurar el acceso a sus otras herramientas en la nube. La violación de Okta fue un modo de fallo diferente al de LastPass: no una debilidad en la implementación de conocimiento cero, sino un compromiso de la infraestructura de soporte que contenía datos de clientes.

El aumento del 300% en las violaciones de SaaS en 2024 (AppOmni/CSA) refleja ambos modos de fallo: debilidades arquitectónicas como LastPass y compromisos de infraestructura como Okta. La arquitectura de conocimiento cero aborda el modo de fallo arquitectónico. No elimina todo riesgo de violación, pero asegura que incluso un compromiso completo de infraestructura no exponga datos de clientes desencriptables.

Cómo Se Ve una Evaluación Genuina

Para los equipos de adquisiciones que evalúan reclamaciones de conocimiento cero, la lista de verificación de evaluación:

Revisión de arquitectura:

  • Solicitar documentación que muestre dónde ocurre la derivación de claves (del lado del cliente vs. del lado del servidor)
  • Preguntar por el algoritmo de encriptación, la longitud de la clave y el conteo de iteraciones
  • Solicitar confirmación de que el texto plano nunca se transmite a los servidores del proveedor

Pruebas de escenario de violación:

  • Pedir al proveedor que describa qué expondría una violación completa del servidor
  • Si la respuesta incluye algo más que "texto cifrado que no podemos desencriptar," la reclamación no es genuina de conocimiento cero

Revisión del proceso legal:

  • Preguntar si el proveedor puede cumplir con una citación que requiera la producción de texto plano del cliente
  • Los proveedores genuinos de conocimiento cero no pueden producir lo que no tienen

Documentación de cumplimiento:

  • Solicitar la documentación de cumplimiento del Artículo 32 del GDPR del proveedor
  • La certificación ISO 27001 (particularmente el Anexo A de controles criptográficos) proporciona verificación externa de las prácticas de gestión de claves

La multa de £1.2 millones de LastPass por la ICO establece que los proveedores que hacen reclamaciones de encriptación están sujetos a evaluación regulatoria de si esas reclamaciones cumplen con el estándar requerido. El mismo marco de evaluación que los reguladores aplican está disponible para los equipos de adquisiciones antes de que ocurra una violación.

Fuentes:

Artículos Relacionados

Técnico

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Técnico

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Técnico

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características