Campaña de phishing usa herencia falsa para atacar a usuarios de LastPass

La empresa de gestión de contraseñas LastPass ha emitido una alerta a sus usuarios tras detectar una sofisticada campaña de phishing que suplanta su proceso de acceso de herencia. Los correos fraudulentos afirman que un familiar ha solicitado acceso a la bóveda de contraseñas de la víctima, utilizando como excusa un certificado de defunción falso.

Según el informe de la compañía, esta nueva ola de ataques comenzó a mediados de octubre de 2025 y está vinculada al grupo CryptoChameleon (UNC5356), un actor de amenazas motivado financieramente con un largo historial de robo de criptomonedas y credenciales de alto valor.

CryptoChameleon: grupo especializado en robo de criptomonedas

El grupo CryptoChameleon ha sido identificado previamente por utilizar un kit de phishing altamente personalizado que imita interfaces de servicios legítimos como Okta, Gmail, iCloud y Outlook, con el fin de robar credenciales y tokens de autenticación.

Este actor ha dirigido sus ataques contra plataformas de intercambio de criptomonedas como Binance, Coinbase, Kraken y Gemini, buscando acceder a billeteras digitales y activos financieros.

En abril de 2024, los usuarios de LastPass ya habían sido víctimas de una campaña atribuida al mismo grupo, pero la versión más reciente representa un avance técnico significativo: ahora, los atacantes también están apuntando a las claves de acceso (passkeys), un estándar moderno de autenticación sin contraseña que se está adoptando ampliamente.

Cómo funciona el phishing del "proceso de herencia"

El ataque comienza con un correo electrónico cuidadosamente diseñado que parece provenir de LastPass. En él, se informa al usuario que un "miembro de la familia" ha solicitado acceder a su bóveda de contraseñas, alegando que el titular ha fallecido y que se ha presentado un certificado de defunción como prueba.

El mensaje contiene detalles como un número de identificación de agente, lo que da una falsa apariencia de legitimidad. Además, insta al destinatario a cancelar la solicitud si aún está vivo, proporcionando un enlace que supuestamente lo redirige a su cuenta de LastPass.

En realidad, el enlace lleva a un sitio web fraudulento alojado en el dominio lastpassrecovery[.]com, una imitación visualmente idéntica al portal oficial. Una vez allí, se solicita al usuario ingresar su contraseña maestra, lo que permite a los atacantes obtener acceso completo a la bóveda y a todas las credenciales almacenadas.

En algunos casos, LastPass ha confirmado que los atacantes contactaron directamente a las víctimas por teléfono, haciéndose pasar por personal de soporte técnico de la empresa, para reforzar la credibilidad del engaño. Esta táctica híbrida, que combina ingeniería social por correo y llamada, aumenta drásticamente la tasa de éxito del ataque.

Robo de claves de acceso: el nuevo objetivo

Una de las características más alarmantes de esta campaña es que los atacantes no solo buscan contraseñas, sino también claves de acceso.

Las claves de acceso son un estándar de autenticación basado en criptografía asimétrica (FIDO2/WebAuthn), diseñado para reemplazar las contraseñas tradicionales. En lugar de depender de cadenas memorizadas, utilizan pares de claves públicas y privadas almacenadas en dispositivos seguros.

Los administradores de contraseñas modernos —incluidos LastPass, 1Password, Dashlane y Bitwarden— ya ofrecen la opción de sincronizar y guardar claves de acceso entre dispositivos. Sin embargo, este avance tecnológico ha abierto un nuevo frente de ataque: los actores de amenazas como CryptoChameleon ahora buscan robar estas claves para eludir completamente los sistemas de autenticación tradicionales.

LastPass señaló que los atacantes están utilizando dominios de phishing centrados en passkeys, como mypasskey[.]info y passkeysetup[.]com, lo que demuestra un intento deliberado de robar las credenciales FIDO2/WebAuthn almacenadas por los usuarios.

Antecedentes: la brecha de LastPass de 2022 y sus repercusiones

Este nuevo ataque ocurre en un contexto donde LastPass aún arrastra las consecuencias de su violación de datos de 2022, en la que los ciberdelincuentes robaron copias de seguridad cifradas de las bóvedas de contraseñas.

Aquella brecha fue posteriormente utilizada en ataques dirigidos que resultaron en pérdidas superiores a 4,4 millones de dólares en criptomonedas, al descifrar parcialmente las bóvedas de usuarios que reutilizaban contraseñas débiles.

El incidente marcó un punto de inflexión en la industria, obligando a LastPass y a otros gestores de contraseñas a reforzar sus protocolos de cifrado y ofrecer autenticación multifactor obligatoria.

Sin embargo, campañas como la actual de CryptoChameleon demuestran que la ingeniería social sigue siendo el eslabón más débil de la cadena de seguridad, y que ni siquiera las herramientas más avanzadas pueden proteger completamente a los usuarios cuando estos son engañados para entregar sus credenciales voluntariamente.

Medidas de protección recomendadas por LastPass

LastPass ha emitido varias recomendaciones de seguridad para evitar caer en esta campaña de phishing:

• Verificar siempre el dominio antes de iniciar sesión. Los únicos dominios legítimos de LastPass son You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.
• No hacer clic en enlaces recibidos por correo electrónico o mensajes sospechosos; en su lugar, acceder directamente a la página oficial escribiendo la URL manualmente.
• Habilitar la autenticación multifactor (MFA) para todas las cuentas, especialmente aquellas vinculadas a la bóveda de contraseñas.
• No compartir información personal ni responder llamadas que soliciten datos de acceso, incluso si aparentan provenir del soporte técnico.
• Monitorear la actividad de la bóveda y revisar los dispositivos conectados regularmente desde la configuración de seguridad de LastPass.

Además, la empresa recomendó a los administradores corporativos reforzar las políticas de seguridad interna y capacitar a los empleados sobre la identificación de ataques de phishing de ingeniería social.

La evolución del phishing hacia la manipulación emocional

El ataque CoPhish anterior contra Microsoft y la actual campaña CryptoChameleon contra LastPass confirman una tendencia clara: los atacantes están evolucionando hacia tácticas más humanas y psicológicas, combinando ingeniería social con técnicas de suplantación de confianza.

En el caso de LastPass, la utilización del proceso de herencia, un mecanismo diseñado para proteger a los usuarios en situaciones de emergencia, ha sido retorcido por los delincuentes para obtener el efecto contrario.

La moraleja es clara: incluso los procesos legítimos y bienintencionados pueden convertirse en armas en manos de atacantes creativos.
Por ello, la vigilancia constante, la autenticación robusta y la educación del usuario siguen siendo las defensas más efectivas frente a la creciente sofisticación del phishing moderno.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login