Autoridades federales confirman vínculo entre el hackeo de LastPass de 2022 y una ciberextorsión

 (krebsonsecurity.com)
1 puntos por GN⁺ 2025-03-09 | 1 comentarios | Compartir por WhatsApp

  • Septiembre de 2023, incidente de hackeo de LastPass

    • KrebsOnSecurity informó en septiembre de 2023 que el robo de contraseñas maestras de LastPass provocó ciberrobos por cientos de miles de dólares a varias víctimas.
    • Investigadores federales de EE. UU. llegaron a la misma conclusión mientras investigaban el robo de criptomonedas por 150 millones de dólares ocurrido el 30 de enero de 2024.

  • Caso de robo de criptomonedas

    • El 6 de marzo de 2024, la fiscalía federal del norte de California anunció que recuperó aproximadamente 24 millones de dólares en criptomonedas tras un ciberrobo de 150 millones de dólares.
    • Se presume que la víctima de este caso es Chris Larsen, cofundador de Ripple.

  • Resultados de la investigación federal

    • El Servicio Secreto de EE. UU. y el FBI llegaron a la misma conclusión sobre los robos relacionados con el hackeo de LastPass.
    • Confirmaron que los datos y contraseñas robados se usaron para acceder ilegalmente a las cuentas de administradores de contraseñas en línea de las víctimas y así sustraer criptomonedas y otros datos.

  • Características comunes de las víctimas

    • Los investigadores de seguridad Nick Bax y Taylor Monahan descubrieron que las víctimas no sufrieron ataques típicos como compromisos de correo electrónico, cuentas móviles o ataques de SIM swapping.
    • Todas las víctimas habían guardado frases semilla de criptomonedas en "Secure Notes" de sus cuentas de LastPass.

  • Patrón complejo del robo

    • Los fondos robados se movieron rápidamente a través de múltiples cuentas en varios exchanges de criptomonedas.
    • El gobierno considera que este patrón complejo de robo fue llevado a cabo con la colaboración de varios actores maliciosos.

  • Respuesta de LastPass

    • LastPass afirma que no ha visto evidencia concluyente, ni de investigadores federales ni de otras fuentes, de que estos robos estén relacionados con el hackeo de LastPass.
    • En agosto de 2022, LastPass anunció que detectó actividad anómala en su entorno de desarrollo de software y que se habían robado parte de su código fuente y de su información técnica.
    • En noviembre de 2022, LastPass notificó a sus clientes que se habían comprometido bóvedas de contraseñas cifradas e información personal.

  • Opinión de expertos en seguridad

    • Muchas víctimas usaban contraseñas maestras de baja complejidad, lo que sugiere que probablemente eran clientes antiguos de LastPass.
    • Aunque LastPass exigió contraseñas más complejas a los nuevos usuarios, parece que no aplicó esa medida a sus clientes más antiguos.

  • Necesidad de reforzar la seguridad

    • Los investigadores sostienen que LastPass debió haber recomendado a sus clientes cambiar sus contraseñas.
    • A pesar de la reacción negativa de LastPass, los investigadores de seguridad subrayan que se necesitan medidas adicionales para prevenir más hackeos.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-03-09
Comentarios de Hacker News
  • 1Password no recibe suficiente reconocimiento por su decisión de cifrar todas las bóvedas con una clave secreta avanzada. Esto tiene un costo en experiencia de usuario y carga de soporte, pero gracias a eso una filtración de datos no termina siendo un gran problema
  • LastPass minimizó la filtración de datos y no cifró correctamente datos como la sección de notas. Evadió su responsabilidad, pero debieron haberlo demandado
  • LastPass sabía que las contraseñas maestras de los usuarios no eran suficientemente seguras y aun así no actuó de forma proactiva. Eso es imperdonable
  • Quienes usan LastPass deberían migrar a opciones más confiables como 1Password, Bitwarden o Keepass, y cambiar todas sus contraseñas importantes
  • Me confunde cómo el hackeo de LastPass provocó la pérdida de contraseñas. Pensé que funcionaba de forma similar a 1Password, y si ese fuera el caso, entonces debería seguir siendo muy difícil o imposible. ¿Alguien puede explicar cómo difieren los administradores de contraseñas o LastPass?
  • En 1Password, la clave de descifrado se divide en dos partes: la única contraseña del usuario + la clave secreta. Se necesitan ambas. La clave secreta se genera aleatoriamente y es de unos 128 bits. La genera 1Password y se la entrega al usuario, pero luego ya no la vuelve a ver. Aunque la bóveda sea robada, hay que descifrar tanto la contraseña como la clave secreta de 128 bits, por lo que se garantiza una seguridad mínima de 128 bits
  • ¿En qué se diferencia LastPass? ¿También robaron la clave secreta? ¿La bóveda robada fue objeto de ataques adicionales para extraer la clave secreta? ¿LastPass no usa una estructura similar a la de 1Password? ¿O debería pensar que, aun usando 1Password, no es seguro?
  • Dejé de usar LastPass después de la segunda gran brecha de seguridad en 2013. Wikipedia solo muestra 3 incidentes en total, pero recuerdo haber visto al menos 5 reportes entre 2010 y hoy. Durante todo ese tiempo seguí viendo empresas usar LastPass, y cada vez me sorprendía
  • LastPass afirma que no hay evidencia que conecte ambos incidentes. Pero cuesta creer que personas que guardan "coleccionables" por valor de millones de dólares no cambien al menos sus contraseñas cada año
  • La rotación de contraseñas ya no es una mejor práctica, pero en este caso sigue siendo una decisión prudente
  • Miro mi KeepassXC local y mantengo la calma
  • Nos dijeron que guardáramos las contraseñas en la nube, y que no habría ningún problema
  • Centralizar las credenciales de todos sigue siendo la idea más peligrosa. Lo único más atractivo para un hacker podrían ser las drogas para mejorar el rendimiento gratis, pero solo por un rato; luego volverán a intentar robar las credenciales de todos
  • Otros objetivos: la información de identificación personal de todos, información sobre amigos, familia y mascotas, respuestas a preguntas de seguridad, ID móviles, números PIN, números de cuenta, firmas, fotos, huellas dactilares, patrones de voz, escaneos faciales y de retina, forma de caminar, ADN y ARN mitocondrial
  • Recuerdo que cuando LastPass apareció por primera vez, todos pensaban que era débil y poco confiable. Pepperidge Farm también se acuerda
  • ¿Qué hace la gente realmente sensible a la seguridad con sus contraseñas? Parece que hay que usar la misma contraseña para todo o usar un administrador de contraseñas. Pero siempre me preocupa que, si todas las contraseñas están reunidas en un solo lugar, cuando una se vea comprometida no sea solo una, sino todas
  • Siento que en muchas soluciones hay un intercambio con la conveniencia. Podría guardar una carpeta física llena de contraseñas en la oficina de mi casa, pero sería tedioso buscarla e ingresarlas cada vez, y sería un gran riesgo para cualquiera que tenga acceso físico