El gestor de contraseñas Dashlane confirmó este martes que varios hackers lograron vulnerar aproximadamente 20 cuentas de clientes, lo que les permitió descargar bóvedas de contraseñas cifradas. El incidente, ocurrido durante el fin de semana, consistió en un ataque de fuerza bruta contra el sistema de autenticación de dos factores (2FA) de la compañía.
Según TechCrunch, la brecha permitió a terceros no autorizados registrar nuevos dispositivos en cuentas de usuarios existentes. Aunque la empresa afirmó que no hay pruebas de que sus sistemas internos hayan sido comprometidos, aún no ha revelado el método técnico específico utilizado para eludir las protecciones 2FA.
Dashlane explicó la mecánica de la intrusión en un aviso de seguridad, señalando que los atacantes utilizaron software automatizado para saturar el proceso de verificación. Al probar rápidamente combinaciones numéricas, los hackers intentaron adivinar el código correcto antes de que expirara el token de seguridad temporal.
“El objetivo del ataque fue vulnerar mediante fuerza bruta las protecciones de la autenticación de dos factores (2FA) para permitir que el atacante registrara nuevos dispositivos en cuentas de usuario existentes”, declaró la empresa en su página de respuesta a incidentes.
Impacto y mitigación
La compañía ha confirmado que notificó a los aproximadamente 20 usuarios afectados cuyas bóvedas fueron accedidas. Por el momento, no está claro si estas cuentas fueron seleccionadas específicamente por su contenido o por la identidad de los usuarios involucrados.
Dashlane ha declarado que ha implementado medidas para mitigar el riesgo de ataques similares en el futuro, aunque declinó ofrecer detalles específicos sobre dichas actualizaciones de seguridad. La empresa no respondió a las solicitudes de comentarios adicionales sobre el incidente.
La autenticación de dos factores está diseñada para servir como una capa de seguridad secundaria, que normalmente requiere un código adicional enviado al dispositivo móvil del usuario para evitar accesos no autorizados. Este incidente pone de relieve la vulnerabilidad de estos sistemas cuando son sometidos a intentos de fuerza bruta automatizados y de alta velocidad.
