1Password se disculpa después de enviar por error notificaciones de cambio de contraseña a los usuarios

La noche del 27 de abril, todos los usuarios activos de 1Password en Estados Unidos recibieron la siguiente notificación: “Su clave secreta o contraseña se modificó recientemente. Ingrese los datos de su nueva cuenta para continuar”. Como no habían cambiado sus contraseñas, la alerta era preocupante.

Pero el popular gestor de contraseñas no fue víctima de una vulneración ni de un ataque. La notificación se envió por error durante una interrupción del servicio después de un mantenimiento de rutina, ylos registros de mantenimiento públicosde 1Password explicaron la situación justo después del incidente.

1Password publicó más tarde uncomunicado oficialpara explicar lo sucedido y pedir disculpas. Alrededor de las 9:00 p. m. (hora del este de EE. UU.) de la noche en cuestión, 1Password estaba completando el mantenimiento programado de las bases de datos cuando sus servidores recibieron una cantidad inusual de solicitudes de sincronización de dispositivos cliente. Los sistemas rechazaron los inicios de sesión y devolvieron un error que las aplicaciones cliente interpretaron erróneamente como una alerta de cambio de contraseña.

En realidad, las contraseñas y los datos no se modificaron ni se vieron afectados. Para mayor seguridad, 1Password protege las copias de seguridad con cifrado. Consulta nuestraguía de administradores de contraseñaspara saber por qué es importante.

La interrupción fue breve y el servicio volvió a estar completamente operativo. “El 28 de abril no se recibieron más mensajes erróneos y pudimos confirmar que las correcciones funcionaban como se esperaba”, explica el comunicado.

El director de tecnología de 1Password, Pedro Canahuati, también informó que se está llevando a cabo una investigación sobre la interrupción para analizar la causa. Los hallazgos ayudarán a ajustar el proceso de mantenimiento y manejo de errores, para que el incidente no vuelva a ocurrir.

Sin embargo, una búsqueda rápida en los foros de soporte de 1Password revela un hilo que describe el mismo mensaje de error. Un miembro de la comunidad presentó la queja después de encontrar el error en su dispositivo Mac en diciembre de 2022, a lo que el equipo de 1Password respondió públicamente.

Aunque no se trata de un incidente de seguridad, el problema de 1Password llegó solo unos meses después de lafiltración de LastPass. LastPass, otro popular gestor de contraseñas, se ha visto afectado por un grave ataque el año pasado. Partes malintencionadas robaron el historial de URL, los nombres, las direcciones de facturación, los correos electrónicos, los números de teléfono, las direcciones IP y las credenciales de inicio de sesión cifradas de los usuarios. También se filtró parte del código fuente de LastPass. Tenemos una lista dealternativas a LastPasspara los lectores preocupados por la seguridad.

1Password nunca ha sufrido un incidente de seguridad, pero el ataque a LastPass sí que da contexto a las preocupantes especulaciones que siguieron al incidente del 27 de abril.

El comunicado oficial puso fin a esas especulaciones. “Nos tomamos muy en serio la integridad de sus datos y la estabilidad de nuestros sistemas y seguiremos trabajando arduamente todos los días para ganarnos la confianza que han depositado en nosotros”, aseguró el director de tecnología a los clientes de 1Password.