Follow ZDNET: Add us as a preferred source on Google.
Puntos clave de ZDNET
- El CEO de LastPass afirma que la brecha de seguridad de 2022 ha impulsado a la empresa a alcanzar mayores niveles de seguridad.
- Los estándares de seguridad de la empresa son ahora «superiores a los que normalmente se esperarían de un programa de seguridad estándar».
- LastPass también afirma que «la seguridad es el núcleo de todo lo que hacemos por el consumidor».
En una entrevista con ZDNET, Karim Toubba, el Director Ejecutivo de LastPass, explicó que el importante incidente de seguridad que ha perseguido a la empresa desde 2022 se convirtió en «un factor determinante para impulsar muchos cambios».
¿Qué es LastPass?
Con sede en Boston, Massachusetts, LastPass es un proveedor de soluciones de seguridad y gestión de identidades conocido por su bóveda de gestión de contraseñas. Fundada en 2008, la organización fue adquirida por GoTo (anteriormente LogMeIn) en 2015, y posteriormente se convirtió en una entidad independiente en 2024.
Incidentes de seguridad de 2022
Si usted es una empresa que proporciona soluciones de privacidad y seguridad al público en general y a las empresas, lo último que quiere es verse envuelta en una brecha de seguridad. Desafortunadamente para LastPass, esto fue lo que ocurrió en 2022.
En agosto de ese año, una «parte no autorizada» obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una cuenta de desarrollador comprometida y robó parte del código fuente y los datos técnicos de LastPass.
También: Cómo bloquear tu iPhone al máximo para evitar ataques, incluso de la FBI
La situación no terminó ahí. La información robada durante este ataque condujo a un mayor compromiso, incluido el robo de información básica de la cuenta del cliente y metadatos relacionados, como nombres, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP. Además, se accedió a una copia de seguridad de los datos de la bóveda del cliente. Aunque estaba encriptada, aun así fue accedida por un intruso que logró robar una contraseña maestra de la computadora doméstica de un ingeniero senior.
El incidente de seguridad ocurrió en 2022, por lo que podría pensarse que cuatro años después, los recuerdos se habrían desvanecido. Sin embargo, las consecuencias de la brecha de datos fueron lo último de una serie de preocupaciones de seguridad. Cuando se asocia un gestor de contraseñas con el riesgo, es un largo camino recuperar la confianza del consumidor.
Las consecuencias
La llegada de Toubba a LastPass en 2022 fue seguida por una serie constante de cambios en toda la empresa. Con los cimientos de LastPass sacudidos por la brecha de datos, Toubba dijo que la empresa ha estado «trabajando constantemente» para reconstruirse desde cero.
«Me gusta decir a los clientes que es más fácil decirles lo que no ha cambiado en los últimos tres o cuatro años que lo que sí», dijo Toubba.
También: Los mejores gestores de contraseñas de 2026: probados por expertos
Los cambios se centraron en tres áreas: personas, procesos y tecnología. Se invirtieron fondos en la propia aplicación, en la infraestructura de la empresa y en una transición a la nube. Se implementaron controles de seguridad en cada sistema.
Dado que el factor humano fue fundamental para el incidente de seguridad, el nuevo CEO también se centró en evaluar la postura de seguridad de los dispositivos de los empleados.
«Cambiamos significativamente la pila tecnológica de todos nuestros empleados, [como] las capacidades de seguridad en sus dispositivos, y luego emitimos nuevos dispositivos a todos los empleados en forma de portátiles que estaban completamente bloqueados», comentó Toubba. «Soy usuario de Mac, y como ejemplo, ni siquiera puedo ir a la App Store con mi Mac, solo puedo usar aplicaciones aprobadas por la empresa, que están enfocadas y validadas».
Se implementaron medidas de autenticación de hardware en toda la empresa, como dongles YubiKey. LastPass también revisó por completo su programa de capacitación para empleados, formó un equipo de seguridad dedicado y contrató a terceros para auditorías de seguridad continuas, incluidas pruebas de penetración.
El futuro de LastPass
LastPass ha realizado varias mejoras recientes, con nuevos servicios que aparecen para los mercados tanto de consumidores como de empresas. Estos incluyen controles de autenticación para combatir el uso de SaaS en la sombra y el uso fraudulento de aplicaciones de IA.
Según Toubba, LastPass continuará equilibrando su enfoque para ambos mercados, y si bien hay valor en la gestión de credenciales, también hay «un valor real en obtener una visibilidad mucho más amplia más allá de la gestión de credenciales y los desafíos [que enfrentan las empresas]».
También: El mejor software antivirus de 2026
Las prácticas de seguridad mejoradas, las mejoras internas y una mayor transparencia son todos cambios en la dirección correcta, pero ¿son suficientes para recuperar la confianza de los clientes?
Le pregunté a Toubba por qué los clientes deberían confiar en LastPass ahora. Esta fue su respuesta:
«En los negocios y en la vida, cuando te enfrentas a algo significativo, tienes que hacerte una pregunta: ¿qué voy a hacer? ¿Cuál es mi objetivo? ¿Voy a intentar maquillar esto, o voy a usar esto como un factor determinante para el cambio?
«Hicimos lo último. Realizamos una inversión plurianual de varios millones de dólares y fuimos más allá de lo que normalmente se esperaría de un programa de seguridad estándar. Estamos orgullosos del trabajo ejemplar que no solo conduce a ser más seguros, sino que también nos convierte en líderes en la industria en lo que respecta al liderazgo, la transparencia y el intercambio de información. […] Por lo tanto, diría que el LastPass nuevo y mejorado, si se quiere, es aquel que pone la seguridad en el corazón de todo lo que hacemos por el consumidor».
