Último pase

Software de gestión de contraseñas

LastPass es una aplicación de gestión de contraseñas . ^[3] La versión estándar de LastPass viene con una interfaz web , pero también incluye complementos para varios navegadores web y aplicaciones para muchos teléfonos inteligentes . También incluye soporte para bookmarklets .

Fundada en 2008 por cuatro desarrolladores, ^{[4] [5]} Lastpass fue adquirida por GoTo (anteriormente LogMeIn Inc.) por 110 millones de dólares en 2015. ^[6] LastPass se escindió de GoTo y se convirtió en una empresa independiente en 2024. ^[7]

LastPass sufrió importantes incidentes de seguridad entre 2011 y 2022. En particular, a fines de 2022, se vulneraron datos de usuarios, información de facturación y bóvedas (con algunos campos encriptados y otros no) ^{[a] [8]} , lo que llevó a muchos profesionales de seguridad a pedir a los usuarios que cambiaran todas sus contraseñas y se pasaran a otros administradores de contraseñas. ^[9]

Descripción general

El contenido de un usuario en LastPass, incluidas las contraseñas y las notas seguras, está protegido por una contraseña maestra. El contenido se sincroniza con cualquier dispositivo en el que el usuario utilice el software LastPass o las extensiones de la aplicación. La información se cifra con cifrado AES-256 con PBKDF2 SHA-256 , hashes con sal y la capacidad de aumentar el valor de las iteraciones de contraseña. El cifrado y descifrado se realiza a nivel de dispositivo. ^{[10] [11]}

LastPass tiene un rellenador de formularios que automatiza la introducción de contraseñas y el llenado de formularios, y admite la generación de contraseñas , el uso compartido y registro de sitios, y la autenticación de dos factores. LastPass admite la autenticación de dos factores a través de varios métodos, incluida la aplicación LastPass Authenticator para teléfonos móviles, así como otros, como YubiKey . ^[12]

A diferencia de otros administradores de contraseñas importantes, LastPass ofrece una pista de contraseña establecida por el usuario, lo que permite el acceso cuando falta la contraseña maestra. ^[13]

Historia

El 2 de diciembre de 2010, se anunció que LastPass había adquirido Xmarks , una extensión del navegador web que permitía la sincronización de contraseñas entre navegadores. La adquisición significó la supervivencia de Xmarks, que tenía problemas financieros, y aunque los dos servicios permanecieron separados, la adquisición condujo a un precio reducido para las suscripciones premium pagas que combinaban los dos servicios. ^{[14] [15]} El 30 de marzo de 2018, se anunció que el servicio Xmarks se cerraría el 1 de mayo de 2018, según un correo electrónico a los usuarios de LastPass. ^[16]

El 9 de octubre de 2015, GoTo adquirió LastPass por 110 millones de dólares. La empresa se fusionó bajo la marca LastPass con un producto similar, Meldium, que ya había sido adquirido por GoTo. ^{[17] [18]}

El 16 de marzo de 2016, LastPass lanzó LastPass Authenticator, una aplicación gratuita de autenticación de dos factores . ^[19]

El 2 de noviembre de 2016, LastPass anunció que las cuentas gratuitas ahora permitirían sincronizar el contenido del usuario con cualquier dispositivo, una función que antes era exclusiva de las cuentas pagas. Antes, una cuenta gratuita en el servicio significaba que el contenido se sincronizaría con una sola aplicación. ^{[20] [21]}

En agosto de 2017, LastPass anunció LastPass Families, un plan familiar para compartir contraseñas, información de cuentas bancarias y otros datos confidenciales entre miembros de la familia por una suscripción anual de $48. También duplicaron el precio de la versión Premium sin agregarle ninguna característica nueva. En cambio, eliminaron algunas características de la versión gratuita. ^[22]

El 14 de diciembre de 2021, GoTo anunció que LastPass se constituiría como una empresa independiente. ^[23] La escisión se completó en mayo de 2024, y LastPass pasó a estar controlada directamente por Francisco Partners y Elliott Management , las firmas de capital privado que privatizaron GoTo en 2020. ^{[7] [24]}

Recepción

En marzo de 2009, PC Magazine le otorgó a LastPass cinco estrellas, una calificación de "Excelente" y su "Elección de los editores" por la gestión de contraseñas. ^[25] Una nueva revisión en 2016 luego del lanzamiento de LastPass 4.0 le otorgó al servicio nuevamente cinco estrellas, una calificación de "Excelente" y el honor de "Elección de los editores". ^[26]

En julio de 2010, el modelo de seguridad de LastPass fue ampliamente tratado y aprobado por Steve Gibson en el episodio 256 de su podcast Security Now. ^[27] También revisó el tema y su relación con la Agencia de Seguridad Nacional en el episodio 421 del podcast Security Now. ^[28]

En octubre de 2015, cuando GoTo adquirió LastPass, el blog del fundador Joe Siegrist se llenó de comentarios de usuarios que expresaban críticas a GoTo. ^[29] Los sitios web ZDNet, Forbes e Infoworld publicaron artículos que mencionaban la protesta de los clientes existentes, algunos de los cuales dijeron que se negarían a hacer negocios con GoTo y plantearon otras preocupaciones sobre la reputación de GoTo. ^{[30] [31] [32]}

En un artículo de Consumer Reports de 2017 se comentó que LastPass es un administrador de contraseñas popular (junto con Dashlane , KeePass y 1Password ), y que la elección entre ellos depende principalmente de las preferencias personales. ^[13] En marzo de 2019, Lastpass recibió el premio al Mejor producto en gestión de identidad durante la séptima edición anual de los premios InfoSec de la revista Cyber ​​Defense. ^[33]

Incidentes de seguridad

Violación de seguridad de 2015

El lunes 15 de junio de 2015, LastPass publicó una entrada en su blog indicando que el equipo de LastPass había descubierto y detenido una actividad sospechosa en su red el viernes anterior. Su investigación reveló que las direcciones de correo electrónico de las cuentas de LastPass, los recordatorios de contraseñas, los valores de sal por usuario del servidor y los hashes de autenticación estaban comprometidos; sin embargo, los datos cifrados de la bóveda de usuarios no se habían visto afectados. ^[34]

Rastreadores de terceros e incidentes de seguridad en 2021

En 2021, se descubrió que la aplicación de Android contenía rastreadores de terceros . ^[35] Además, a fines de 2021, un artículo en el sitio BleepingComputer informó que se advirtió a los usuarios de LastPass que sus contraseñas maestras estaban comprometidas. ^[36]

Robo de datos de clientes y bóveda parcialmente cifrada en 2022

En agosto de 2022, un pirata informático robó una copia de una base de datos de clientes y algunas copias de las bóvedas de contraseñas de los clientes. La información robada incluye nombres, direcciones de correo electrónico, direcciones de facturación, tarjetas de crédito parciales y URL de sitios web. ^[37] Algunos de los datos de las bóvedas no estaban cifrados, mientras que otros estaban cifrados con las contraseñas maestras de los usuarios. La seguridad de los datos cifrados de cada usuario depende de la solidez de la contraseña maestra del usuario, de si la contraseña se había filtrado previamente y de la cantidad de rondas de cifrado utilizadas. Se robaron detalles de la cantidad de rondas de cada cliente. Algunas bóvedas de clientes eran más vulnerables al descifrado que otras. ^{[38] [39]}

En noviembre de 2022, LastPass aseguró a los usuarios que las contraseñas almacenadas con el servicio seguían siendo seguras. ^[40]

Los datos de los clientes incluían sus nombres, direcciones de facturación, números de teléfono, direcciones de correo electrónico, direcciones IP y números parciales de tarjetas de crédito, así como el número de rondas de cifrado utilizadas, semillas MFA e identificadores de dispositivos. ^[38] Los datos de la bóveda incluían, para cada usuario violado, URL de sitios web no cifrados ^{[b] [8]} y nombres de sitios, y nombres de usuario, contraseñas y datos de formularios cifrados para esos sitios. ^[38]

El actor de amenazas primero obtuvo acceso no autorizado a partes de su entorno de desarrollo, código fuente e información técnica a través de la computadora portátil de un solo desarrollador comprometido. ^[41] LastPass respondió reconstruyendo su entorno de desarrollo y rotando certificados. ^[42] El actor, sin embargo, utilizó la información para atacar y piratear la computadora de un ingeniero senior de DevOps , ^[42] y utilizó un registrador de teclas para obtener la contraseña maestra de ese ingeniero. Luego, el actor obtuvo acceso a una bóveda corporativa encriptada, que era compartida entre solo cuatro ingenieros. Esa bóveda contenía claves para los depósitos S3 de las copias de seguridad de los archivos de los clientes. ^[43] El actor obtuvo la base de datos de usuarios del 14 de agosto de 2022 y varias copias de seguridad de la bóveda de contraseñas tomadas entre el 20 de agosto y el 16 de septiembre de 2022. ^[44]

Los comentaristas expresaron su preocupación por el hecho de que si la contraseña maestra de un usuario era débil o se filtraba, ^[38] las partes cifradas de los datos del cliente podrían descifrarse . ^[45] Inicialmente, LastPass afirmó que no era necesaria ninguna acción para la mayoría de sus clientes, ^[46] pero otras fuentes recomendaron cambiar todas las contraseñas y estar alerta ante posibles ataques de phishing . ^{[38] [47]}

A principios de 2023 se inició una demanda colectiva en la que el demandante anónimo afirmaba que LastPass no mantenía segura la información de los usuarios. ^[48] Un motivo de especial preocupación en la demanda era el mayor riesgo de que los datos se utilizaran en ataques de phishing . ^[48]

En septiembre de 2023, se estableció un vínculo potencial entre el robo de datos de 2022 y un total de más de 35 millones de dólares en criptomonedas que habían sido robadas a más de 150 víctimas desde diciembre de 2022. El vínculo se estableció debido al hecho de que casi todas las víctimas eran usuarios de LastPass. ^{[49] [50]}

Véase también

• Lista de administradores de contraseñas

Notas

1. El cifrado de URL se agregó en 2024
2. El cifrado de URL se agregó en 2024

Referencias

1. Chesto, John (26 de abril de 2022). «LastPass tiene un nuevo director ejecutivo». The Boston Globe . Consultado el 23 de febrero de 2023 .
2. Chesto, John (14 de diciembre de 2021). "LastPass se mantendrá independiente mientras los propietarios de LogMeIn dicen que escindirán la empresa de gestión de contraseñas". The Boston Globe . Consultado el 23 de febrero de 2023 .
3. Siegrist, Joe (9 de octubre de 2015). «LastPass se une a la familia LogMeIn». blog.lastpass.com . LogMeIn . Archivado desde el original el 9 de octubre de 2015 . Consultado el 8 de agosto de 2018 .
4. Stross, Randall (11 de junio de 2011). "Por qué las contraseñas cifradas marcan la diferencia". The New York Times . Consultado el 1 de mayo de 2024 .
5. Orin, Andy (16 de enero de 2015). "Detrás de la aplicación: la historia de LastPass". Lifehacker . Consultado el 1 de mayo de 2024 .
6. Gagliordi, Natalie (9 de octubre de 2015). "LastPass comprada por LogMeIn por 110 millones de dólares". ZDNET . Consultado el 1 de mayo de 2024 .
7. Hale, Craig (2 de mayo de 2024). "LastPass se separa oficialmente de su antigua empresa matriz GoTo". TechRadar . Consultado el 2 de mayo de 2024 .
8. Toulas, Bill (22 de mayo de 2024). "LastPass ahora encripta las URL en las bóvedas de contraseñas para una mayor seguridad". BleepingComputer . Consultado el 30 de mayo de 2024 .
9. Newman, Lily Hay. "Sí, es hora de deshacerse de LastPass". Wired . ISSN  1059-1028. Archivado desde el original el 23 de enero de 2024. Consultado el 30 de diciembre de 2022 .
10. "La mejor forma de gestionar contraseñas". LogMeIn . Consultado el 8 de agosto de 2018 .
11. Hoffman, Chris (9 de agosto de 2012). "11 maneras de hacer que su cuenta de LastPass sea aún más segura". How-To Geek .
12. Eddy, Max (30 de marzo de 2016). "LastPass Authenticator (para iPhone)". PCMag . Ziff Davis .
13. Chaikivsky, Andrew (7 de febrero de 2017). "Todo lo que necesita saber sobre los administradores de contraseñas". Consumer Reports .
14. Gott, Amber (2 de diciembre de 2010). "¡LastPass adquiere Xmarks!". blog.lastpass.com . Iniciar sesión .
15. Purdy, Kevin (2 de diciembre de 2010). "LastPass adquiere Xmarks y mantiene disponibles los planes gratuitos de sincronización de marcadores". Lifehacker . Gizmodo Media Group .
16. Brinkmann, Martin (1 de abril de 2018). "LogMeIn cerrará Xmarks el 1 de mayo de 2018". gHacks . Archivado desde el original el 1 de abril de 2018.
17. Brodkin, Jon (9 de octubre de 2015). "LogMeIn compra el gestor de contraseñas LastPass por 110 millones de dólares". Ars Technica . Condé Nast .
18. Pérez, Sarah (9 de octubre de 2015). "LogMeIn adquiere el software de gestión de contraseñas LastPass por 110 millones de dólares". TechCrunch . Oath Tech Network .
19. Whitwam, Ryan (16 de marzo de 2016). "LastPass lanza su propia aplicación de autenticación móvil de dos factores". AndroidPolice . Illogical Robot.
20. Siegriest, Joe (2 de noviembre de 2016). "Obtenga LastPass en todas partes: ¡el acceso multidispositivo ahora es gratuito!". blog.lastpass.com . LogMeIn .
21. Kastrenakes, Jacob (2 de noviembre de 2016). "Ahora hay una excusa menos para no usar un gestor de contraseñas". The Verge . Vox Media .
22. Maring, Joe (3 de agosto de 2017). "LastPass anuncia los precios del plan "Familias"; duplica el costo de la opción Premium". 9to5Google .
23. "LogMeIn se prepara para establecer LastPass como una empresa de seguridad en la nube independiente en medio de una fuerte demanda del mercado". LogMeIn. 14 de diciembre de 2021. Consultado el 11 de octubre de 2022 .
24. Chesto, Jon (2 de mayo de 2024). «LastPass completa la escisión de GoTo». The Boston Globe .
25. Rubenking, Neil (20 de marzo de 2009). "Reseña de LastPass 1.50". PCMag . Ziff Davis . Archivado desde el original el 24 de marzo de 2009.{{cite web}}: CS1 maint: unfit URL (link)
26. Rubenking, Neil (2 de noviembre de 2016). «Reseña de LastPass 4.0». PC Magazine . Consultado el 2 de noviembre de 2016 .
27. Gibson, Steve; Laporte, Leo (10 de junio de 2010). "Security Now 256: LastPass Security". TWiT.tv .
28. Gibson, Steve; Laporte, Leo (11 de septiembre de 2013). "Security Now 421: La acusación perfecta". TWiT.tv .
29. Brodkin, Jon (9 de octubre de 2015). "LogMeIn compra el gestor de contraseñas LastPass por 110 millones de dólares". Ars Technica . Condé Nast . ^{[ verificación necesaria ]}
30. "LastPass comprada por LogMeIn por 110 millones de dólares; ... protestas de los usuarios de LastPass, algunos de los cuales dicen que se niegan a hacer negocios con LogMeIn". ZDNet . 2015-10-09 . Consultado el 2019-06-12 . ^{[ verificación necesaria ]}
31. "LastPass se une a LogMeIn, pero no todo el mundo está entusiasmado". Forbes . 2015-10-09 . Consultado el 2019-06-12 . ^{[ verificación necesaria ]}
32. "LogMeIn adquiere LastPass para reforzar su cartera de identidades". InfoWorld . 2015-10-09 . Consultado el 2019-06-12 . ^{[ verificación necesaria ]}
33. Shah, Megha (20 de marzo de 2019). "LastPass de LogMeIn recibió el reconocimiento InfoSec 2019". Tech Funnel .
34. Goodin, Dan (15 de junio de 2015). "El hackeo de LastPass basado en la nube expone contraseñas maestras cifradas". Ars Technica . Condé Nast .
35. Anderson, Tim (25 de febrero de 2021). "1Password no tiene ninguno, KeePass no tiene ninguno... Entonces, ¿por qué hay siete rastreadores integrados en la aplicación LastPass para Android?". The Register . Consultado el 31 de agosto de 2023 .
36. Gatlan, Sergiu. "Los usuarios de LastPass han sido advertidos de que sus contraseñas maestras están comprometidas". BleepingComputer . Consultado el 28 de diciembre de 2021 .
37. Goodin, Dan (26 de agosto de 2022). "El número de empresas afectadas por ataques recientes sigue creciendo". Ars Technica . Consultado el 19 de septiembre de 2024 .
38. Goodin, Dan (22 de diciembre de 2022). "Usuarios de LastPass: su información y los datos de su bóveda ahora están en manos de los piratas informáticos". Ars Technica . Consultado el 22 de diciembre de 2022 .
39. Clark, Mitchell (23 de diciembre de 2022). "Los piratas informáticos robaron bóvedas de contraseñas cifradas de LastPass y recién ahora nos enteramos de ello". The Verge . Consultado el 20 de septiembre de 2024 .
40. Gatlan, Sergiu (30 de noviembre de 2022). "Lastpass afirma que los piratas informáticos accedieron a los datos de los clientes en una nueva filtración". BleepingComputer .
41. Toubba, Karim. "Aviso de incidente de seguridad reciente". Blog de LastPass . Consultado el 26 de agosto de 2022 .
42. Toubba, Karim (1 de marzo de 2023). "Actualización de incidentes de seguridad y acciones recomendadas". El blog de LastPass . Consultado el 5 de marzo de 2023 .
43. Goodin, Dan (28 de febrero de 2023). "LastPass dice que la computadora de su empleado fue hackeada y que la bóveda corporativa fue robada". Ars Technica . Consultado el 28 de febrero de 2023 .
44. "¿A qué datos se accedió? - Soporte de LastPass". support.lastpass.com . Consultado el 5 de marzo de 2023 .
45. Sharwood, Simon. "LastPass admite que los atacantes copiaron bóvedas de contraseñas". www.theregister.com . Consultado el 27 de diciembre de 2022 .
46. Toubba, Karim (22 de diciembre de 2022). "Aviso de incidente de seguridad reciente". El blog de LastPass . Consultado el 22 de diciembre de 2022 .
47. "LastPass finalmente lo admite: ¿Esos delincuentes que entraron? Después de todo, robaron sus bóvedas de contraseñas...". Naked Security . 23 de diciembre de 2022 . Consultado el 28 de diciembre de 2022 .
48. Kan, Michael. "LastPass enfrenta una demanda colectiva por la violación de la seguridad de la bóveda de contraseñas". PCMAG . Consultado el 6 de enero de 2023 .
49. Weatherbed, Jess (7 de septiembre de 2023). "Una brecha de seguridad de LastPass vinculada al robo de 35 millones de dólares en atracos de criptomonedas". The Verge . Consultado el 8 de septiembre de 2023 .
50. "Los expertos temen que los delincuentes estén descifrando las claves robadas en la vulneración de LastPass – Krebs on Security". 9 de septiembre de 2023. Consultado el 20 de septiembre de 2024 .

Enlaces externos

• Sitio web oficial