Si utilizas LastPass como gestor de contraseñas, probablemente recibiste en el último tiempo algunos correos electrónicos en los que los alertan sobre intentos de inicio de sesión bloqueados.
Usualmente, esto es una grave señal de alerta, pues indica que alguien trató de adivinar la contraseña maestra para acceder a la bóveda de claves. Sin embargo, desde la aplicación señalaron que esto se debió a un error técnico.
LastPass envió alertas de seguridad por error
Al conocerse esta situación, inicialmente fue atribuida a bots. Sin embargo, los antecedentes no eran del todo claros y no convencieron totalmente a los supuestos afectados.
Recientemente, LastPass comentó a AppleInsider que no hay evidencia de una violación de datos, a propósito de los reportes de los usuarios de que fueron notificados de intentos de inicio de sesión no autorizados. El gestor de contraseñas sostiene que nunca se vio comprometida su seguridad y que ningún mal actor ha accedido a las cuentas de sus usuarios.
Tras desarrollar una investigación interna sobre esta situación, desde LogMeIn, la empresa matriz de LastPass, señalaron a The Verge en voz de su vicepresidente de gestión de productos de LastPass, Dan DeMichele: “Trabajamos rápidamente para investigar esta actividad y en este momento no tenemos ninguna indicación de que ninguna cuenta de LastPass haya sido comprometida por un tercero no autorizado como resultado de este relleno de credenciales, ni hemos encontrado ninguna indicación de que las credenciales de LastPass del usuario hayan sido recopiladas por malware, extensiones de navegador fraudulentas o campañas de phishing”.
Sin especificar concretamente cómo se detonó este problema, desde LastPass indican que aún trabajan en identificar su origen. Sin embargo, asumen que estas notificaciones fueron enviadas a un limitado subconjunto de usuarios por error, presuntamente.
Desde LastPass reiteran que no almacenan una copia legible de las contraseñas maestras del servicio, una práctica que denominan “modelo de seguridad de conocimiento cero”. Por lo mismo, se supone que aquellos datos nunca estuvieron realmente comprometidos.
De todas formas, siguiendo la versión sostenida en la respuesta oficial de LastPass, incluso si el gestor de contraseñas no vio realmente comprometida su seguridad, vale la pena utilizar métodos alternativos de seguridad para las contraseñas.