Brecha de seguridad en Goto: Qué dice el reciente incidente sobre la industria del software de acceso remoto

Breve historia de la filtración de datos de GoTo/LastPass

GoTo ha anunciado recientemente que, según su investigación, “un actor de amenazas exfiltró copias de seguridad cifradas de un servicio de almacenamiento en la nube de terceros relacionado con los siguientes productos: Central, Pro, join.me, Hamachi y RemotelyAnywhere”. El consejero delegado de GoTo, Paddy Srinivasan, hizo hincapié en los esfuerzos de la empresa por mantener a los clientes informados y seguros tras el incidente.

Un actor de ciberamenazas también ha extraído una clave de cifrado para un segmento de los datos de copia de seguridad cifrados. Entre la información afectada podría haber “nombres de usuario de cuentas, contraseñas con sal y hash, una parte de la configuración de la autenticación multifactor (MFA), así como algunos ajustes del producto e información sobre licencias”. Tras esta brecha de seguridad de GoTo, sus productos han sido investigados a fondo para garantizar su seguridad y funcionalidad durante este periodo.

Los sistemas de producción de GoTo no se vieron afectados más allá de lo revelado anteriormente.

LastPass, empresa propiedad de GoTo, también anunció recientemente que un incidente ocurrido en agosto de 2022 fue más grave de lo que se pensaba. Los datos afectados incluían bases de datos cifradas de GoToMyPC. Aunque inicialmente dijo que no había datos de clientes afectados, LastPass admitió en diciembre que los datos de clientes se habían visto comprometidos. La parte no autorizada había accedido a un servicio de almacenamiento en la nube de terceros donde LastPass almacenaba datos, incluidos nombres de usuario de cuentas y contraseñas con sal y hash. Los datos de los clientes afectados pueden contener nombres de usuario y otra información sensible.

El incidente también afectó a la configuración de la autenticación multifactor (MFA) de un pequeño subconjunto de clientes, sobre todo en relación con las bases de datos cifradas de Rescue y GoToMyPC. A raíz de esto, GoTo ha tomado medidas significativas para salvaguardar las contraseñas de las cuentas y mejorar sus medidas de seguridad generales. Parte de ello ha consistido en contactar directamente con los clientes afectados para tranquilizarles sobre las copias de seguridad cifradas y una autenticación más robusta.

Tras varias violaciones de seguridad en el pasado, LastPass se separó oficialmente de GoTo en mayo de 2024 para centrarse más en la ciberseguridad. Así se ha asegurado de proteger los datos de sus clientes con su plataforma mejorada de gestión de identidades, garantizando que las contraseñas no vuelvan a ser vulneradas.

¿Qué te dice la brecha de seguridad de GoTo sobre la seguridad de los datos?

Hay una conclusión esencial de todo lo anterior: cuando la seguridad no es la prioridad, los usuarios afectados son los que acaban sufriendo. La confianza digital y la seguridad de los datos son esenciales para nosotros en RealVNC. Creemos que cualquier proveedor de acceso remoto, especialmente un proveedor de software, debería tomárselas muy en serio. En realidad, muchas empresas no se toman en serio la seguridad adicional. La confianza digital y la seguridad de los datos son esenciales para nosotros en RealVNC.

Construimos nuestro producto poniendo la seguridad en primer lugar, adhiriéndonos a nuestros cuatro principios de seguridad:

No tienes que confiar en RealVNC como empresa para confiar en nuestro software y servicios
No grabamos tus sesiones, y los datos no pueden descifrarse ni ahora ni en el futuro
Cada conexión se trata como si se realizara en un entorno hostil
El propietario del ordenador remoto decide en última instancia quién puede conectarse

Todas y cada una de las conexiones están encriptadas de extremo a extremo con AES de hasta 256 bits. También disponemos de 2FA (autenticación de dos factores) y recomendamos encarecidamente su uso.

RealVNC Connect puede demostrar que es seguro

No sólo decimos que somos seguros. Nuestra solución de acceso remoto es la única que ha sido auditada por un experto en seguridad independiente y ha recibido el visto bueno. En concreto, hemos abierto nuestras puertas a una exhaustiva auditoría de seguridad de caja blanca realizada por Cure53. Se trata de una revisión de seguridad mucho más profunda que la tradicional prueba de penetración anual, en la que los auditores tienen acceso completo a nuestro código fuente, a la documentación interna de la API y una línea de comunicación directa con los desarrolladores. Estamos muy orgullosos de los resultados, ya que no se encontraron problemas críticos, lo que no hace sino reafirmar nuestra firme postura en materia de seguridad. Seguiremos trabajando duro para mantener los mismos altos niveles de seguridad.

También nos complace anunciar que la versión para Android de RealVNC Server for Mobile es la primera aplicación de acceso remoto que ha superado con éxito el proceso MASA. Realizamos el proceso para nuestra aplicación RealVNC Mobile Server en noviembre de 2022, en colaboración con NCC Group, un laboratorio MASA autorizado y un actor clave en el sector de la seguridad. Nuestra aplicación superó con éxito esta evaluación y obtuvo un resultado sobresaliente: un PASS en cada área en la primera ejecución.

RealVNC seguirá desafiando a toda la industria para que tome el mismo camino de proporcionar seguridad adicional a sus productos. Lo hemos hecho en recientes eventos sobre ciberseguridad y seguiremos haciéndolo en el futuro.

“En RealVNC actuamos desde el punto de vista de que ninguna empresa debería fiarse de la palabra de un proveedor cuando afirma que su software es seguro, por lo que decidimos realizar una auditoría de caja blanca con una consultora de seguridad de gran prestigio para demostrarlo.”

– Andrew Woodhouse, Director de Información de RealVNC

¿Qué debes hacer ahora?

Comprueba si tu proveedor de software (y especialmente de acceso remoto) puede mostrarte pruebas de su seguridad. Y no te fíes sólo de su palabra. Pídeles una prueba en forma de auditoría de seguridad independiente reciente. Si no pueden hacerlo, existen opciones alternativas que cumplen tus requisitos de seguridad.

RealVNC Connect garantiza un acceso remoto seguro y fiable para todos. Integra RealVNC Viewer y Server en una aplicación de escritorio unificada. Su interfaz fácil de usar y funciones como la transferencia de archivos, la barra de herramientas rediseñada, el chat, el soporte multimonitor y la grabación de sesiones la convierten en una herramienta valiosa para todos los usuarios de tu organización.

Nuestra última versión también incluye funciones avanzadas que seguro que encantarán a tu servicio de asistencia y a tus equipos informáticos. RealVNC Connect Versión 8 incorpora códigos de sesión autoexpirables que caducan y se sustituyen en dos minutos, garantizando que no se puedan utilizar códigos persistentes para accesos no autorizados. Además, con la herramienta sabrás quién se está conectando, tendrás acceso sólo por invitación y podrás compartir tu dispositivo con Code Connect. ¿Listo para experimentar la nueva era del acceso remoto? ¡ Prueba hoy mismo la última versión de RealVNC Connect!

Bogdan Bele

A journalist by formation and experience, and a content writer by trade. I’ve been writing content, both online and offline, for more than 15 years. My focus has always been technology, but I’ve also ventured into fields as diverse as music, football or news. I am RealVNC’s in-house Digital Content Editor, so a lot of what you’re reading on this blog is written by me. I also edit a lot of our content output. When I’m not writing, editing or reading, you’ll probably find me at a concert or watching a Chelsea FC game.