LastPass notifica a los usuarios de otra filtración de datos más
Qué implicó esta filtración
- El incidente se originó en Klue, una herramienta de terceros de “inteligencia competitiva/de mercado” integrada con los sistemas Salesforce y Gong de LastPass.
- Los atacantes obtuvieron tokens OAuth de Klue y accedieron a datos del CRM de LastPass en Salesforce.
- Datos expuestos: información de contacto y comercial de clientes (nombres, correos electrónicos, números de teléfono, direcciones físicas), datos de casos de soporte y datos relacionados con ventas.
- No hay indicios en el hilo de que se accediera a bóvedas de contraseñas en este incidente específico; varios comentaristas insisten en que esto es “solo” una filtración de marketing/CRM.
Reacciones al historial de seguridad de LastPass
- Muchos consideran que LastPass es especialmente poco fiable dado sus múltiples incidentes anteriores, incluida la exfiltración previa de bóvedas cifradas.
- Algunos sostienen que incluso una filtración que no afecte a las bóvedas es reputacionalmente devastadora para una empresa cuya propuesta de valor entera es proteger secretos.
- Otros minimizan el impacto, señalando que información de contacto similar ya se ha filtrado muchas veces en otros lugares.
Servicios de terceros y riesgo de la cadena de suministro
- Hay críticas contundentes por entregar datos de clientes a plataformas de marketing/CRM en absoluto, especialmente en el caso de una empresa centrada en la seguridad.
- Algunos defienden el uso de CRM como un estándar básico para ventas, aunque otros argumentan que el acceso debería estar mucho más limitado.
- Preocupación más amplia por los ecosistemas SaaS interconectados, donde una sola intrusión (Klue) se propaga entre muchos proveedores.
Debate sobre los modelos de riesgo de los gestores de contraseñas
- Se discute el riesgo sistémico: los gestores de contraseñas reducen enormemente el riesgo por sitio, pero centralizan el fallo en un único objetivo de alto valor.
- Algunos prefieren modelos sin conexión o de “archivo local + sincronización” (KeePassXC, Enpass, Pass, etc.) para evitar grandes objetivos de bóvedas alojadas.
- Otros sostienen que los gestores SaaS con cifrado de extremo a extremo bien implementado pueden ser igual de seguros o incluso más seguros en la práctica, y además añaden protección contra phishing.
Alternativas, UX y costes de migración
- Menciones frecuentes de alternativas (1Password, Bitwarden, KeePassXC, Enpass, gestores basados en el navegador, Bitwarden/Passbolt autohospedados).
- La experiencia de usuario de las herramientas locales y la sincronización propia se considera aceptable para usuarios técnicos, pero demasiado áspera para usuarios “normales”.
- La migración fuera de LastPass, especialmente en organizaciones o familias, se describe como lenta y arriesgada, lo que ayuda a explicar la inercia de los clientes.
Privacidad de datos, responsabilidad y regulación
- Debate sobre cuán grave es otra filtración de información de contacto cuando esos datos ya están muy extendidos.
- Otros insisten en que normalizar filtraciones repetidas es perjudicial y que las empresas aun así deben ser sometidas a estándares más altos.
- Algunos piden mayor responsabilidad legal y personal para los ejecutivos para incentivar mejores prácticas de seguridad.