Código fuente robado durante la violación de datos de LastPass Password Manager

Posted On 26 Sep 2022

Comment: Off

El 29 de agosto del corriente año LastPass confirmó que había sido víctima de una violación de datos ocurrido dos semanas antes, cuando un actor de amenazas obtuvo acceso a su entorno de desarrollo interno. A pesar de que el intruso no accedió a los datos o contraseñas de los clientes, el incidente resultó en el robo de su código fuente.

¿Qué es LastPass?

LastPass es un gestor de contraseñas que almacena las contraseñas de sus usuarios encriptadas en una nube, desarrollado originalmente por la empresa Marvasol, Inc. El objetivo de LastPass es resolver una dificultad para el usuario, tener que generar contraseñas. La función de la organización se centra en gestionar el usuario y contraseña del cliente en una nube.

Las contraseñas en LastPass Password Manager se protegen a través de una contraseña maestra, al mismo tiempo estas contraseñas se cifran localmente y se sincronizan a cualquier otro navegador soportado. Este generador ofrece un complementador automático de formularios web para automatizar la autenticación y generar nuevas altas en sitios web, todo ello con generación automática de contraseñas. Lo que ofrece la empresa a sus usuarios es desligarse de la conocida incomodidad con la que muchas personas lidian al tener que generar una contraseña adecuada por cada cuenta. Principalmente para aquellas personas y organizaciones que poseen múltiples cuentas a la vez.

Código fuente robado durante la violación de datos de LastPass Password Manager. | DriCloud

Después de detectar una actividad inusual a principios de agosto, LastPass descubrió que una parte no autorizada había robado partes del código fuente y cierta información técnica patentada. Según fuentes de LastPass, la empresa utiliza una arquitectura Zero Knowledge estándar de la industria que garantiza que nunca se pueda obtener acceso a las contraseñas maestras de los clientes.

¿Qué significa este acontecimiento para los usuarios y las organizaciones?

Si bien LastPass aseguró a los usuarios que sus contraseñas y datos personales no se vieron comprometidos, con 25 millones de clientes podría haber sido mucho peor. Sobre todo teniendo en cuenta que los intrusos podrían recopilar los inicios de sesión y las contraseñas de los usuarios en las cuentas empresariales y de consumidores en línea.

La organización no encontró evidencia de que se haya accedido a ningún dato de cliente y recomendó no realizar ninguna acción por parte de los usuarios para proteger aún más sus datos en este momento. En respuesta al incidente implementaron medidas de contención y mitigación y contrataron a una firma forense y de ciberseguridad líder. Mientras la investigación está en curso, han logrado un estado de contención implementando medidas de seguridad mejoradas adicionales y de acuerdo con la empresa, no han visto más evidencia de actividad no autorizada.

Bajo este contexto, se han recomendado mejores tácticas o prácticas para los usuarios que eligen utilizar este tipo de administradores de contraseñas. Algunas de las tácticas sugeridas son crear contraseñas únicas para todas las cuentas o usar la capacidad de la mayoría de los administradores de programas para generar contraseñas aleatorias, únicas y complejas en cada cuenta; evitar los administradores de contraseñas que permiten la recuperación de la contraseña maestra; utilizar la autentificación multifactor para los aplicaciones del administrador de programas que permiten está capacidad; utilizar la capacidad de generación de contraseña en la mayoría de los administradores de contraseñas para generar respuestas de texto complejas a las preguntas de seguridad en línea.

Según expertos en el tema, tener en cuenta todas estas prácticas implementadas como cliente, permite que los administradores de contraseñas puedan brindar seguridad adicional a sus usuarios, y de esta manera, reducir la probabilidad de riesgos en cuanto a la seguridad y protección de las contraseñas.

La vulnerabilidad y el sistema de salud

Los programas, sistemas y profesionales dentro dl ámbito de la salud están en un lugar vulnerable donde los afectados son pacientes, documentos de su salud y de los médicos. Por este motivo, se recomienda encarecidamente usar un software médico confiable como DriCloud, donde la protección de los datos se extiende mucho más allá de las contraseñas. Como entidad o profesional de la salud, deben añadir una capa adicional a la información y la actividad relacionada con hospitales, consultorios y pacientes. Afortunadamente, eso es posible a un precio realmente accesible. ¡Prueba el mejor software médico del mercado hoy mismo!

About the Author

El ciberdelito en el sector de la salud

El término software médico o Historia Clínica Electrónica se utiliza para referirse a una plataforma de software que gestiona los registros de los actos médicos de los pacientes, en un centro médico, hospital o clínica. Es un registro electrónico longitudinal de la información de salud del paciente, generada por una o más visitas médicas en urgencias, consultas, cirugías o pruebas diagnósticas.

Esta secuencia de registros médicos, ordenada cronológicamente o por patología, típicamente incluye los datos demográficos del paciente, problemas personales o familiares, notas de progreso, los medicamentos, los signos vitales, vacunas, datos de laboratorio e informes o imágenes de radiología.

El software médico automatiza y agiliza el flujo de trabajo del profesional de la salud. Ofrece la capacidad de generar un registro completo de un encuentro clínico del paciente, así como el apoyo a otras actividades relacionadas con el cuidado directa o indirectamente a través de la interfaz, gestión de la calidad y resultados de informes.

Se ha demostrado que un buen software médico evita la pérdida de la información clínica del paciente, evita errores médicos por falta de comprensión de la letra de otros doctores, emite de forma correcta las recetas de medicamentos, genera comunicación y satisfacción en los pacientes y aumenta la productividad de la actividad clínica.