Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Incidente de seguridad en LastPass

Fecha de publicación 01/12/2022

GoTo y LastPass, entidades afiliadas, han publicado sendos comunicados oficiales informando de una brecha de seguridad en sus sistemas. Se ha detectado un acceso no autorizado, utilizando la información obtenida en otro incidente que tuvo lugar en agosto de 2022, con el que se pudo acceder a ciertos elementos de la información de sus clientes.

Adicionalmente, GoTo y LastPass han iniciado una investigación para entender el alcance del incidente e identificar a qué información específica se ha accedido, confirmando LastPass que los productos y servicios siguen siendo totalmente funcionales.

[Actualización 27/12/2022] LastPass ha actualizado la información sobre este incidente, aclarando que los atacantes lograron hacerse con las bóvedas de contraseñas de usuarios, permitiendo a los atacantes extraer información de una copia de seguridad que contenía información sobre clientes y metadatos relacionados, como nombres de empresas, usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP, si bien es cierto que estos datos están cifrados con AES de 256 bits.