La tercera brecha de seguridad que afecta a LastPass en cuatro años vuelve a poner en entredicho la fiabilidad de uno de los gestores de contraseñas más utilizados del mundo. El ataque a Klue, su proveedor de inteligencia de mercado, ha expuesto nombres, números de teléfono, direcciones de correo electrónico y postales de sus clientes, además de detalles de casos de soporte y ventas.
Claves de la operación
- La filtración incluye nombres, teléfonos y direcciones, pero no las contraseñas maestras. La información expuesta facilita ataques de phishing y suplantación de identidad, aunque el núcleo de la seguridad de las cuentas permanece intacto.
- Los atacantes robaron tokens OAuth de Klue para acceder a los sistemas Salesforce de LastPass. Estos tokens permitían a Klue integrar datos de clientes; al ser comprometidos, se convirtieron en una puerta de entrada a los registros de soporte y CRM.
- LastPass ha cortado la conexión con Klue y colabora con las autoridades, pero el historial de incidentes debilita su posición frente a competidores como 1Password y Bitwarden. La compañía asegura que ya trabaja en medidas adicionales para evitar futuros ataques a través de terceros.
El vector del ataque: tokens OAuth como llave maestra
La investigación conjunta de LastPass y Klue ha determinado que los ciberdelincuentes robaron los tokens OAuth que la plataforma de inteligencia de mercado utilizaba para conectarse a los sistemas Salesforce y Gong de LastPass. Estos tokens, diseñados para autorizar integraciones legítimas, se convirtieron en el eslabón más débil al permitir acceder a a los registros de clientes sin necesidad de vulnerar directamente la infraestructura del gestor de contraseñas.
Klue detectó la intrusión el pasado 12 de junio y, desde entonces, ha trabajado con expertos externos para restaurar las conexiones comprometidas. LastPass, por su parte, cortó todo acceso de sus empleados a Klue, renovó los tokens afectados e inició una investigación con el apoyo de las fuerzas de seguridad.
La respuesta de LastPass y las dudas del mercado
En un comunicado publicado el 23 de junio, LastPass informó a sus clientes de la brecha y emitió una serie de recomendaciones: extremar la precaución ante posibles intentos de phishing, cambiar la contraseña maestra como medida de precaución y, en el fondo, considerar si vale la pena seguir utilizando un servicio con un historial de incidentes reiterado.
La compañía también aseguró que comparte información con la comunidad de ciberseguridad para ayudar a desarticular esta campaña. Sin embargo, los analistas de seguridad consultados por este medio señalan que la sofisticación del ataque, basado en el robo de tokens OAuth, evidencia la necesidad de extremar los controles sobre proveedores externos y las autorizaciones delegadas.
La gestión de la identidad digital no admite terceras oportunidades: cada brecha expulsa usuarios hacia alternativas más seguras.
A pesar de que las contraseñas almacenadas y las bóvedas no fueron comprometidas, el escepticismo crece. La mayoría de los datos expuestos no incluye credenciales de acceso, pero la combinación de nombres, teléfonos y direcciones ofrece a los atacantes material suficiente para lanzar campañas de ingeniería social muy dirigidas. En esta redacción observamos que LastPass afronta un problema de confianza acumulada que trasciende el incidente puntual.
Un historial de brechas que abre la puerta a la competencia
No es la primera vez que LastPass aparece en el foco de las vulnerabilidades. En 2019, un fallo de seguridad expuso credenciales introducidas en sitios visitados anteriormente, y en 2020 una caída masiva del servicio impidió a miles de usuarios acceder a sus cuentas durante días. Con este nuevo incidente, aunque la responsabilidad directa recaiga en un tercero, la percepción del mercado se deteriora.
Los principales competidores —1Password, NordPass y Bitwarden— han aprovechado cada tropiezo para reforzar sus credenciales de seguridad. El trasvase de usuarios no es inmediato, pero cada brecha reduce la fricción para migrar. Las herramientas de exportación e importación facilitan un cambio que, según testimonios recogidos en foros especializados, es menos traumático de lo que muchos temen.
El mensaje para los clientes de LastPass es claro: por ahora, los riesgos se limitan al phishing y al smishing, pero la pregunta de fondo es si el gestor de contraseñas preferido sigue siendo la opción más segura cuando el ecosistema ofrece alternativas con un historial más limpio. La compañía promete mejorar los controles sobre proveedores externos, aunque la recuperación de la confianza llevará tiempo.
