Una nueva brecha vuelve a poner a LastPass bajo presión
La compañía asegura que las bóvedas permanecen protegidas, pero la exposición de datos personales reabre las dudas sobre la seguridad de su ecosistema y la gestión de proveedores externos.
📌 En resumen
- Un ataque contra Klue expuso información de usuarios de LastPass.
- Los atacantes obtuvieron acceso mediante tokens OAuth comprometidos.
- No hay evidencias de acceso a las bóvedas de contraseñas.
- Los datos filtrados podrían utilizarse en campañas de phishing e ingeniería social.
LastPass ha confirmado una nueva filtración de datos provocada por el compromiso de Klue, un proveedor externo utilizado por la compañía. Aunque las bóvedas de contraseñas no se vieron afectadas, los atacantes lograron acceder a información personal de usuarios y clientes tras comprometer credenciales almacenadas en la plataforma.
El incidente vuelve a situar a LastPass en el centro de la conversación sobre seguridad digital. La empresa insiste en que su infraestructura principal no fue vulnerada, pero la exposición de datos sensibles añade un nuevo capítulo a un historial reciente marcado por problemas de seguridad.
El origen del ataque estuvo en Klue
Según la información divulgada, los atacantes consiguieron acceder a Klue y obtener tokens OAuth almacenados para algunos de sus clientes corporativos. Entre ellos se encontraba LastPass.
Utilizando esas credenciales, los responsables del ataque lograron entrar en el entorno de Salesforce empleado por LastPass para gestionar información comercial y de soporte.
Desde ese entorno extrajeron diversos registros asociados a usuarios y clientes antes de que la actividad maliciosa fuera detectada.
Qué información quedó expuesta
La compañía ha confirmado que los datos comprometidos incluyen información personal utilizada en procesos comerciales y de atención al cliente.
- Nombres completos.
- Números de teléfono.
- Direcciones de correo electrónico.
- Direcciones físicas.
- Información vinculada a tickets de soporte.
- Registros relacionados con ventas y clientes.
Uno de los aspectos que más preocupación genera es el contenido de los tickets de soporte afectados. En muchos servicios tecnológicos este tipo de registros puede contener detalles adicionales proporcionados por los usuarios durante incidencias, verificaciones de identidad o procesos de recuperación de cuenta.
Las bóvedas de contraseñas no fueron comprometidas
LastPass sostiene que no existe evidencia de acceso a las bóvedas de contraseñas ni a los sistemas centrales que gestionan las credenciales de los clientes.
La empresa también indicó que los tokens OAuth comprometidos fueron revocados y reemplazados una vez detectado el incidente. Además, aseguró que otras integraciones vinculadas con Klue, como Gong, no se vieron afectadas.
"Los productos, servicios e infraestructuras de LastPass no se vieron afectados de ninguna manera y las bóvedas de clientes siguen siendo seguras", afirmó la compañía en su comunicado.
El peso de los incidentes anteriores sigue presente
El problema llega en un contexto especialmente delicado para LastPass. La empresa todavía arrastra las consecuencias reputacionales de la brecha sufrida en 2022, considerada una de las más graves en la historia de los gestores de contraseñas.
Aquella intrusión permitió a los atacantes obtener copias de bóvedas cifradas pertenecientes a usuarios. Aunque la información estaba protegida mediante cifrado, algunas contraseñas maestras débiles terminaron siendo descifradas con el paso del tiempo.
Como consecuencia, varios usuarios reportaron posteriormente accesos no autorizados a activos digitales y billeteras de criptomonedas.
Por qué los usuarios deben mantenerse alerta
Aunque esta filtración es considerablemente menos grave que la de 2022, los datos expuestos tienen un valor significativo para los ciberdelincuentes.
La combinación de nombres, teléfonos, direcciones y correos electrónicos puede facilitar campañas de phishing altamente personalizadas, intentos de suplantación de identidad o fraudes dirigidos contra usuarios concretos.
LastPass recomienda desconfiar de cualquier comunicación inesperada que solicite información personal, credenciales de acceso o datos financieros.
La empresa recuerda además que nunca solicitará la contraseña maestra mediante correo electrónico, llamada telefónica o mensajes directos.
Icarus se atribuye la intrusión
De acuerdo con los reportes conocidos hasta ahora, detrás del ataque estaría un grupo de extorsión identificado como Icarus, relacionado también con otros incidentes recientes derivados del compromiso de Klue.
Los atacantes habrían amenazado con publicar la información obtenida si no reciben un pago económico. Por el momento, Klue no ha detallado cuántos clientes resultaron afectados ni si ha mantenido negociaciones con los responsables del ataque.
Mientras continúan las investigaciones, el caso vuelve a evidenciar un problema cada vez más frecuente en la industria tecnológica: los riesgos asociados a la cadena de suministro digital. Incluso cuando los sistemas principales permanecen protegidos, una brecha en un proveedor externo puede convertirse en la puerta de entrada para exponer información sensible de millones de usuarios.
