Los usuarios del gestor de contraseñas LastPass han enfrentado importantes problemas de inicio de sesión a partir de principios de mayo. La compañía anunció que los usuarios tendrían que restablecer su cuenta y preferencia de autenticación multifactor debido a las actualizaciones de seguridad planificadas para el pasado 9 de mayo.
Sin embargo, numerosos usuarios se han visto excluidos de sus cuentas y no han podido acceder nuevamente a su bóveda de contraseñas, a pesar de haber restablecido exitosamente sus aplicaciones MFA (tales como LastPass Authenticator, Microsoft Authenticator o Google Authenticator).
Usuarios de LastPass acusan dificultades para obtener ayuda y soporte
Según lo que reportan desde Bleeping Computer, el problema se ha complicado aún más debido a que los clientes afectados no pueden buscar ayuda en el soporte de LastPass. La función de búsqueda del soporte requiere iniciar sesión en las cuentas, pero los usuarios están atrapados en un bucle infinito de restablecer su autenticación MFA. Esto ha llevado a la frustración y a la imposibilidad de resolver los problemas técnicos.
LastPass ha lanzado varias advertencias sobre las mejoras de seguridad y ha explicado que estas se realizan para aumentar la seguridad de las contraseñas. La compañía utiliza una versión más fuerte de la función de derivación de clave de contraseña (PBKDF) para aumentar la seguridad de la contraseña maestra. El reinicio de la autenticación MFA se realiza para aumentar las iteraciones de contraseñas de los clientes y mejorar el cifrado de la bóveda de LastPass.
LastPass ha proporcionado instrucciones detalladas para restablecer el emparejamiento entre LastPass y la aplicación autenticadora. Los usuarios deben seguir un procedimiento específico para volver a activar la autenticación multifactor en su cuenta.
Además, LastPass ha implementado una medida de seguridad adicional que requiere a los usuarios verificar su ubicación al iniciar sesión en un sitio web o aplicación utilizando LastPass. Esto se hace para garantizar una mayor seguridad en el acceso a las cuentas.
La compañía ha comunicado a sus clientes la recomendación de reiniciar los ajustes de MFA con su aplicación autenticadora preferida, como medida de precaución. Se enviaron correos electrónicos y boletines de seguridad para informar a los usuarios sobre la importancia de tomar estas medidas.
Estos problemas se suman a la brecha de seguridad que LastPass experimentó en diciembre de 2022. En ese momento, los actores de amenaza lograron robar una gran cantidad de información parcialmente cifrada y datos de la bóveda de contraseñas de los clientes. La brecha de seguridad se originó en otra violación ocurrida en agosto de 2022.