LastPass, el popular gestor de contraseñas, se encuentra envuelto en un embrollo después de que enviara avisos de robo de credenciales maestras a centenares de usuarios que utilizan la plataforma. La compañía ha declarado a The Verge que su servicio no está comprometido. Las alertas, en principio, se han enviado por error. Los clientes, sin embargo, aseguran que las advertencias van más allá de un simple correo electrónico.
Los reportes de los usuarios de LastPass comenzaron a aparecer en el portal Hacker News. En concreto, varios clientes que utilizan la plataforma para almacenar sus contraseñas aseguran haber recibido un correo electrónico alertando de inicios de sesión sospechosos. "Alguien acaba de usar su contraseña maestra para intentar iniciar sesión en su cuenta desde un dispositivo o ubicación que no hemos reconocimo", decía el mensaje. Tras la preocupación, la compañía declaró rápidamente que su base de datos no han sido comprometidas. Dejando claro, por lo tanto, que las contraseñas maestras no estaban expuestas.
Una de las primeras causas que barajó Nikolett Bacso-Albaum, director senior de LogMeIn Global PR, es que el envío masivo de mensajes podría haber sido causado por "actividades bastante comunes relacionadas con bots". Estos, en concreto, utilizan direcciones de correo electrónico y contraseñas expuestas en el pasado —incluso, por plataformas de terceros— para intentar acceder a cuentas que podrían seguir activas. No obstante, y conforme a unas declaraciones más definidas por parte de LastPass, las alertas podrían haberse realizado por un simple error.
"Nuestra investigación ha encontrado desde entonces que algunas de estas alertas de seguridad, que se enviaron a un subconjunto limitado de usuarios de LastPass, probablemente se activaron por error. Como resultado, hemos ajustado nuestros sistemas de alerta de seguridad y este problema se ha resuelto desde entonces".
Asegura LastPass en una declaración a The Verge.
Dudas e incertidumbre entre los clientes de LastPass
Los usuarios, sin embargo, advierten que los avisos de inicio de sesión sospechosos van más allá de un simple mensaje de correo electrónico. "El correo electrónico realmente no era phishing. La misma información sobre el intento de inicio de sesión aparece en mi panel de control de LastPass. También hablé con el soporte de LastPass por teléfono, y confirmaron haber visto la misma información", asegura un cliente. Otros alegan, además, que solo utilizan la contraseña en LastPass. Por lo tanto, niegan que los "bots" hayan intentado acceder mediante filtraciones de terceros.
Mientras se intenta aclarar lo ocurrido, no hay duda de que la medida más recomendable es cambiar la contraseña maestra de LastPass, incluso aunque el usuario no haya recibido las advertencias. La autenticación en dos pasos, además, es una medida más para evitar robos de credenciales.