En el mundo digital de hoy, donde la seguridad de la información es primordial, las brechas de seguridad representan un desafío constante para empresas y usuarios. Recientemente, 1Password, una de las herramientas de gestión de contraseñas más populares, se ha visto envuelta en un incidente de seguridad relacionado con la brecha de Okta. En este artículo, explicaremos qué sucedió en este incidente, qué implicaciones tiene para los usuarios de 1Password y qué medidas pueden tomar para proteger sus cuentas.
¿Qué es 1Password y cómo funciona?
Antes de sumergirnos en el incidente, es esencial entender qué es 1Password. 1Password es una herramienta de gestión de contraseñas que permite a los usuarios almacenar y organizar contraseñas, datos de tarjetas de crédito y otra información sensible. Utiliza encriptación robusta para proteger los datos, asegurando que solo el usuario pueda acceder a su información.
Te podrá interesar leer: Gestor de Contraseñas 1Password: ¿Cómo funciona?
El Incidente de Seguridad de 1Password: Un Vínculo con la Brecha de Okta
1Password, una reconocida plataforma de gestión de contraseñas usada por más de 100.000 empresas, experimentó un incidente de seguridad tras el acceso no autorizado a su sistema de administración de identidades de Okta por hackers.
Pedro Canahuati, CTO de 1Password, informó: "Observamos actividad anómala en nuestra instancia de Okta ligada a su incidente en el sistema de soporte. Tras una minuciosa investigación, confirmamos que no se comprometieron datos de usuarios de 1Password", según un comunicado breve sobre el incidente.
"El 29 de septiembre notamos esta actividad sospechosa en nuestra instancia de Okta, que administra nuestras aplicaciones para empleados". "Rápidamente detuvimos la actividad, investigamos y aseguramos que no hubo compromiso de datos de usuarios ni de otros sistemas sensibles, ya sea internos o de usuarios".
Okta, por su parte, reveló el viernes que su sistema de gestión de casos de soporte fue vulnerado por actores de amenazas usando credenciales robadas. En estos casos, Okta suele pedir a los clientes que suban archivos HTTP Archive (HAR) para solucionar problemas. Estos archivos contienen información confidencial, como cookies de autenticación y tokens de sesión, que podrían ser utilizados para suplantar a un cliente legítimo de Okta.
Te podrá interesar leer: Okta Enfrenta Brecha de Seguridad por Terceros
Okta se enteró de la violación inicialmente a través de BeyondTrust, quien compartió datos forenses que demostraban la compromisión de su organización de soporte. Sin embargo, Okta tardó más de dos semanas en confirmar el incidente.
Cloudflare también identificó actividad maliciosa en sus sistemas el 18 de octubre, dos días antes de que Okta informara del incidente. Al igual que BeyondTrust, los atacantes usaron un token de autenticación robado del sistema de soporte de Okta para acceder a la instancia de Okta de Cloudflare y obtener privilegios administrativos. 1Password vincula la violación a Okta.
En un informe publicado, 1Password indica que su inquilino de Okta fue vulnerado mediante una cookie de sesión robada a un empleado de TI. "Trabajando con el soporte de Okta, identificamos similitudes con una campaña conocida en la que los atacantes comprometen cuentas de superadministrador y tratan de alterar flujos de autenticación, estableciendo un proveedor de identidad secundario para suplantar usuarios", según el informe de 1Password.
El informe explica que un miembro del equipo de TI de 1Password abrió un caso de soporte con Okta y proporcionó un archivo HAR generado desde Chrome Dev Tools, el cual contenía la misma sesión de autenticación de Okta utilizada para acceder de forma no autorizada al portal administrativo de Okta.
El atacante intentó las siguientes acciones:
- Trató de acceder al panel de usuario del miembro del equipo de TI, pero fue bloqueado por Okta.
- Actualizó un IDP (proveedor de identidad de Okta) existente vinculado al entorno de producción de Google de 1Password.
- Activó el desplazamiento interno.
- Solicitó un informe de usuarios administrativos.
El equipo de TI de 1Password se percató de la infracción el 29 de septiembre tras recibir un email sospechoso sobre el informe administrativo no oficial solicitado por los empleados. "Un miembro del equipo de TI recibió un correo inusual el 29 de septiembre de 2023, sugiriendo que habían iniciado un informe Okta con una lista de administradores", explicó 1Password en su informe.
"Desde entonces, hemos colaborado con Okta para identificar el vector inicial de compromiso. Hasta el 20 de octubre, confirmamos que esto fue resultado de la violación del sistema de soporte de Okta", añadió Canahuati. No obstante, existe cierta confusión sobre cómo se produjo la violación en 1Password, ya que Okta sostiene que sus registros no indican que el archivo HAR del empleado de TI fuera accedido hasta después del incidente de seguridad de 1Password.
1Password ha rotado todas las credenciales de sus empleados de TI y modificado su configuración en Okta, incluyendo la denegación de inicios de sesión desde IDP ajenos a Okta, reducción de los tiempos de sesión para usuarios administrativos, reglas más estrictas en MFA para estos usuarios y la disminución de superadministradores.
Te podrá interesar leer: Seguridad en Línea: Importancia de un Gestor de Contraseña
Lecciones Aprendidas y Mejores Prácticas de Seguridad
Este incidente subraya la importancia de prácticas de seguridad sólidas, tanto para individuos como para empresas. Algunas de estas prácticas incluyen:
- Uso de gestores de contraseñas: Los gestores de contraseñas son fundamentales para mantener seguras las credenciales en línea.
- Autenticación de dos factores (2FA): Añadir una capa adicional de seguridad más allá de la simple contraseña.
- Actualizaciones regulares de seguridad: Mantener el software actualizado para protegerse contra vulnerabilidades conocidas.
- Educación y concienciación sobre seguridad: Entender las amenazas actuales y cómo evitarlas.
Podría interesarte: Concientización: Esencial en la Ciberseguridad de tu Empresa
Para los usuarios de 1Password y Okta, este incidente es un recordatorio crucial de la importancia de la seguridad en línea. Mientras que 1Password demostró la eficacia de su encriptación, los usuarios deben permanecer vigilantes y seguir las mejores prácticas de seguridad.
El incidente de seguridad vinculado a la brecha de Okta y que involucró a 1Password es un recordatorio oportuno de las complejidades y desafíos de la seguridad en línea. Resalta la importancia de herramientas robustas de gestión de contraseñas y de una actitud proactiva hacia la seguridad digital. A medida que el mundo se vuelve cada vez más digital, la vigilancia y la adopción de prácticas de seguridad sólidas son más cruciales que nunca.