La Information Commissioner’s Office (ICO), autoridad de control del Reino Unido, ha impuesto una sanción de 1,2 millones de libras esterlinas a LastPass UK Ltd como consecuencia de una brecha de seguridad ocurrida en 2022 que comprometió datos personales de aproximadamente 1,6 millones de usuarios.
La investigación del regulador concluye que la compañía no adoptó medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, tal y como exige el artículo 32 del denominado UK GDPR. En concreto, el incidente tuvo su origen en el acceso no autorizado a un dispositivo corporativo de un empleado, lo que permitió posteriormente al atacante comprometer un dispositivo personal de un ingeniero senior y obtener credenciales que dieron acceso a una base de datos de copias de seguridad alojada en la nube.
Como resultado de la brecha, se vieron expuestos distintos datos personales, entre ellos nombres, direcciones de correo electrónico, números de teléfono y direcciones URL asociadas a servicios almacenados por los usuarios en el gestor de contraseñas. Si bien las contraseñas estaban cifradas y no consta que hayan sido descifradas, el ICO subraya que la información comprometida podía facilitar ataques dirigidos, suplantaciones de identidad o campañas de phishing.
El regulador británico destaca que LastPass, como proveedor de un servicio cuya finalidad principal es la gestión segura de credenciales, debía haber aplicado controles reforzados, especialmente en relación con la protección de accesos privilegiados, la segmentación de entornos y la seguridad de los dispositivos utilizados por personal con funciones críticas. La resolución incide asimismo en la insuficiencia de determinadas medidas internas de autenticación y supervisión de accesos.
Desde la perspectiva del ICO, los usuarios tenían una expectativa legítima de que sus datos personales estuvieran protegidos mediante estándares de seguridad particularmente elevados, dadas las características del servicio prestado. En este contexto, la autoridad considera que la falta de medidas adecuadas supuso un riesgo significativo para los derechos y libertades de los interesados.
Este caso sirve como un recordatorio de que las brechas de seguridad pueden acarrear consecuencias regulatorias significativas, incluso cuando no se acredita un uso fraudulento inmediato de los datos comprometidos, así como la importancia de tener en cuenta el contexto de cada organización al momento de determinar las medidas adecuadas.