La violación de LastPass sacude a millones de usuarios: ¿Son seguras las aplicaciones de gestión de contraseñas?

Las aplicaciones de gestión de contraseñas son una de las herramientas de protección digital más poderosas, ya que liberan a los usuarios del caos de guardar contraseñas en papeles o archivos no seguros.

Pero; ¿qué sucede cuando estas herramientas mismas son hackeadas? ¿Y se puede recuperar la confianza en ellas?

Esta pregunta se ha convertido hoy en el centro de atención de millones de usuarios de LastPass, tras uno de los incidentes de hackeo más graves en la historia de la empresa, que afectó datos personales de usuarios individuales y empresas, y desató un amplio debate sobre la seguridad de estos servicios.

* Un hackeo que amenaza a millones

LastPass sufrió un gran hackeo de seguridad, que afectó a aproximadamente 20millones de usuarios individuales y 100mil empresas.

Los datos filtrados incluían nombres de usuario, direcciones de correo electrónico, números de teléfono y enlaces a sitios almacenados dentro del servicio, según un informe publicado por Slashgear.

A pesar de que las contraseñas mismas no fueron descifradas gracias a un modelo de cifrado conocido como “ZeroKnowledge”, el incidente fue considerado una advertencia de gran gravedad para quienes dependen de LastPass o están considerando usarlo, lo que llevó a algunos usuarios a trasladar sus datos a alternativas.

* Multa limitada en medio de amplias críticas

En un paso simbólico, la Oficina del Comisionado de Información del Reino Unido impuso una multa de 1.2 millones de libras esterlinas (aproximadamente 1.6millonesde dólares) a LastPass.

La multa fue calificada de modesta en comparación con el daño causado, ya que equivale a menos de un dólar por cada más de un millón de usuarios afectados solo en el Reino Unido.

* Dos incidentes consecutivos y no uno solo

Lo más grave es que el hackeo no fue un incidente aislado, sino una serie de fallos de seguridad:

• El primer incidente: un atacante logró acceder a la computadora de trabajo de un empleado de LastPass y entrar en el entorno de desarrollo interno, sin filtrar datos de los usuarios en ese momento.

• El segundo incidente: el hacker apuntó a un empleado de alto nivel a través de una vulnerabilidad conocida en un servicio de transmisión externo, utilizando software malicioso para robar la contraseña, eludiendo la autenticación de dos factores, antes de acceder a la base de datos de copias de seguridad.

* Un fallo sistémico y no solo un error

Los expertos en seguridad de la información afirmaron que lo que ocurrió no fue el resultado de un solo error, sino la acumulación de vulnerabilidades de seguridad que permitieron el acceso a datos sensibles.

Abordar este fallo sistémico requiere una reconstrucción completa de la infraestructura de seguridad, y no solo actualizaciones rápidas.

Lo más preocupante es que el incidente se remonta a 2022, mientras que las multas se impusieron efectivamente en diciembre de 2025, lo que plantea preguntas sobre el alcance de las mejoras de seguridad que se lograron realmente durante esos años.

* ¿Sigue siendo LastPass una opción segura?

A pesar de que las contraseñas no fueron descifradas, el incidente volvió a plantear la pregunta fundamental:

¿Es suficiente el cifrado para construir confianza?

Para muchos, la respuesta se ha vuelto más compleja, y podría llevar a los usuarios a pensar dos veces antes de confiar las llaves de sus vidas digitales a cualquier servicio, por famoso que sea.