Lo que la filtración de LastPass nos dice sobre el cumplimiento normativo en 2026

Por Phil Muncaster • 17 de Febrero de 2026

El RGPD siempre se concibió para ser impreciso. Al no incluir controles técnicos prescriptivos, como sí lo hace, por ejemplo, el PCI DSS, el reglamento mantiene mejor su relevancia a lo largo del tiempo. Sin embargo, su principio de "neutralidad tecnológica" también puede ser fuente de frustración para los equipos de cumplimiento normativo. Para obtener una orientación más pragmática, muchos recurren a normas de mejores prácticas como la ISO 27001:2022, que promueve un enfoque estructurado y basado en el riesgo para la ciberseguridad.

Sin embargo, como lo han demostrado las violaciones de datos en LastPass y otras organizaciones, no es una panacea, especialmente si los equipos no abordan el cumplimiento con una mentalidad de revisión y mejora continuas.

¿Qué pasó con LastPass?

Se cree que la filtración de LastPass de 2022 expuso los datos de unos 30 millones de clientes a nivel mundial, incluidos 1.6 millones en el Reino Unido. Desde cualquier punto de vista, se trató de un ataque bastante sofisticado, con dos fases diferenciadas:

Un actor de amenazas vulneró la computadora portátil de un ingeniero de software, lo que le dio acceso a una clave SSE-C. En teoría, podrían haberla usado para acceder a las copias de seguridad de los datos de los clientes, incluyendo bóvedas de contraseñas cifradas. Sin embargo, la clave estaba cifrada y el acceso completo a la base de datos también requería una segunda clave de acceso de AWS.
Un actor de amenazas logró explotar una vulnerabilidad en el servicio de streaming de video Plex, que se había descargado en el portátil personal de un ingeniero sénior de operaciones de desarrollo. Esto le permitió instalar un keylogger y, posteriormente, descifrar la clave SSE-C y obtener la clave de acceso de AWS. Esto les permitió acceder a las bóvedas de contraseñas cifradas.

Dado que las contraseñas maestras de estas bóvedas se almacenaban localmente en los dispositivos de los clientes y nunca se compartían con LastPass, deberían haber sido seguras. Sin embargo, la implementación deficiente del algoritmo PBKDF2 provocó que innumerables contraseñas fueran forzadas brutamente en los años transcurridos desde la filtración, lo que resultó en un estimado de... Robo de 35 millones de dólares en criptomonedas.

Lo que dijo la ICO

La Oficina del Comisionado de Información (ICO) multaron a LastPass con 1.2 millones de libras Por no implementar ni utilizar las medidas técnicas y organizativas adecuadas, en contravención del artículo 5(1)(f) del RGPD del Reino Unido y del artículo 32(1) del RGPD. En concreto, la empresa permitió a los ingenieros superiores usar sus ordenadores portátiles personales para acceder a las claves de producción, permitió a los empleados vincular bóvedas personales y empresariales con la misma contraseña maestra y no rotó las claves de AWS tras el primer incidente.

Sin embargo, el regulador reconoció que el cumplimiento de la norma ISO 27001:2022 debería haber implicado que la empresa siguiera las directrices de la propia ICO sobre la seguridad de los dispositivos de teletrabajo y la separación de dispositivos y cuentas personales y profesionales. Claramente no fue así.

LastPass no es una excepción. Nuestro estudio reciente reveló que más de una cuarta parte (26%) de los profesionales de la privacidad creen que es probable que su organización sufra una violación importante de la privacidad durante el próximo año. Este nivel de riesgo se está convirtiendo rápidamente en la norma, declara a IO (anteriormente ISMS.online), director de estrategia global de ISACA.

El cumplimiento de normas como la ISO 27001 es esencial, pero es solo el punto de partida. La filtración de LastPass pone de manifiesto una dura realidad: la privacidad y la protección de datos no pueden reducirse a cumplir requisitos. Las organizaciones deben ir más allá del cumplimiento mínimo y realizar evaluaciones de capacidad y madurez a nivel de toda la empresa.

Moviéndose con los tiempos

LastPass no es la primera, ni mucho menos la última, empresa en sufrir una vulneración grave, a pesar de estar técnicamente certificada con las mejores prácticas. Otros casos notables incluyen:

23andMeLa empresa de pruebas de ADN recibió una multa de 2.3 millones de libras por parte de la ICO tras una filtración que afectó a millones de clientes. No exigió la autenticación multifactor (MFA) a los usuarios, no monitorizó adecuadamente la actividad inusual y permitió que los cibercriminales abusaran de una función interna (DNA Relatives) para acceder a más cuentas de las que debían.
Grupo InterserveLa empresa subcontratista recibió una multa de 4.4 millones de libras tras una filtración de datos de sus empleados. A pesar de que la intrusión fue detectada por las herramientas de protección de endpoints de la empresa, no se investigó.

Casos como este no ponen de relieve las deficiencias de normas como la ISO 27001. Demuestran que muchas organizaciones todavía no abordan los programas de cumplimiento con la mentalidad adecuada.

“Si bien las normas ISO 27001, SOC 2 y otras son una base excelente y probada en el tiempo para evaluar la seguridad de la información corporativa, no están diseñadas (y nunca lo han estado) como garantía de que una empresa sea invulnerable o de que se sigan correctamente el 100 % de las políticas o procedimientos”, explica el director ejecutivo de ImmuniWeb, Ilia Kolochenko.

“Además, incluso si se siguen debidamente todas las políticas y procedimientos, eso no significa ni implica que los procesos subyacentes sean técnicamente impecables”.

Dennis Martin, especialista en gestión de crisis y resiliencia empresarial de la empresa de servicios tecnológicos Axians UK, agrega que el cumplimiento basado en estándares solo es útil cuando los líderes insisten en que los controles funcionen en la práctica.

Las medidas de seguridad deben probarse, validarse y cuestionarse periódicamente. Las suposiciones y los procesos documentados no sustituyen a la evidencia. Una mentalidad de «no confíes, prueba» es esencial si las organizaciones quieren tener confianza en su postura de seguridad», explica a IO (anteriormente ISMS.online).

El cumplimiento efectivo es continuo. Las amenazas evolucionan, las operaciones comerciales cambian y los controles se degradan con el tiempo. La revisión y mejora periódicas son necesarias para garantizar que lo escrito siga reflejando la realidad.

Mejora continua

De hecho, la norma ISO 27001:2022 “reconoce explícitamente” que la seguridad no debe detenerse, explica a IO el vicepresidente de seguridad de Oleria, Didier Vandenbroeck.

“Un principio central de la norma es la mejora continua, y se espera que los auditores detecten oportunidades de mejora allí donde los controles pueden ser técnicamente compatibles pero ya no son apropiados para el cambiante panorama de amenazas”, explica.

Cuando la certificación se convierte en un simple trámite, ese principio se pierde. Los certificados carecen de sentido si las organizaciones no los aplican en la práctica o no cuestionan si los controles existentes siguen siendo válidos, considerando cómo trabajan las personas y cómo operan los atacantes.

Sam Peters, CPO de IO, está de acuerdo.

“Es por esto que los marcos y estándares son más efectivos cuando se los trata como sistemas de gestión vivos, modelos operativos efectivos para gestionar el riesgo cibernético, en lugar de hitos de cumplimiento estáticos”, explica a IO.

El principio de mejora continua, arraigado en la revisión, el desafío y la adaptación regulares, ha sido fundamental en nuestro enfoque en IO desde nuestros inicios y refleja lo que los reguladores esperan cada vez más en la práctica. Utilizados de esta manera, los marcos proporcionan una base sólida para que las organizaciones gestionen el ciberriesgo en un entorno de cambio constante, en lugar de una instantánea del cumplimiento en un momento específico.

Este enfoque es especialmente importante para gestionar el riesgo del RGPD en un momento en que los reguladores ponen cada vez más énfasis en el contexto.

Los reguladores señalan claramente que las 'medidas técnicas y organizativas apropiadas' deben entenderse como contextuales y cambiantes, en lugar de fijas o estáticas. Lo que se considera apropiado variará en función de factores como la exposición al riesgo, la sensibilidad de los datos y el panorama de amenazas, y se evalúa cada vez más tras un incidente, concluye.

“En la práctica, esto significa que los reguladores están menos interesados en si se ha adoptado un marco y más centrados en la eficacia con la que se utiliza para identificar, revisar y gestionar el riesgo de seguridad de la información a lo largo del tiempo”.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 10 de marzo de 2026

Se acerca una fecha límite clave de la Ley de Inteligencia Artificial de la UE. Esto es lo que las empresas deben saber.

Se acerca una fecha límite clave de la Ley de IA de la UE: esto es lo que las empresas deben saber

La Ley de IA de la UE está llegando a la fase final de su largo y tortuoso camino desde la propuesta legislativa hasta la ley aplicable. Ha sido un largo proceso de elaboración...

Phil Muncaster

La seguridad cibernética 5 de marzo de 2026

Las empresas de servicios financieros del Reino Unido siguen incumpliendo los requisitos básicos, advierte el Banco de Inglaterra.

Las empresas de servicios financieros del Reino Unido siguen incumpliendo lo básico, advierte el Banco de Inglaterra

El sector de servicios financieros del Reino Unido supera con creces sus expectativas. Londres ocupa el segundo puesto, después de Nueva York, como principal centro financiero del mundo y...

Phil Muncaster

La seguridad cibernética 12 de Febrero de 2026

¿Es el Plan de Acción Cibernética del Gobierno adecuado para su propósito?

No es frecuente que el gobierno admita que se equivocó. Sin embargo, a principios de año, tuvimos el privilegio de presenciar un inusual mea culpa: el reconocimiento de que un...

Phil Muncaster

Lo que la filtración de LastPass nos dice sobre el cumplimiento normativo en 2026

¿Qué pasó con LastPass?

Lo que dijo la ICO

Moviéndose con los tiempos

Mejora continua

Phil Muncaster

Artículos relacionados

La retirada de los acuerdos cibernéticos de EE. UU. indica un riesgo corporativo

Se acerca una fecha límite clave de la Ley de IA de la UE: esto es lo que las empresas deben saber

Las empresas de servicios financieros del Reino Unido siguen incumpliendo lo básico, advierte el Banco de Inglaterra

Lea más de Phil Muncaster

Se acerca una fecha límite clave de la Ley de IA de la UE: esto es lo que las empresas deben saber

Las empresas de servicios financieros del Reino Unido siguen incumpliendo lo básico, advierte el Banco de Inglaterra

¿Es el Plan de Acción Cibernética del Gobierno adecuado para su propósito?