Underc0de - La Casa de los Informáticos

LastPass, uno de los gestores de contraseñas más utilizados a nivel global, ha emitido una alerta de seguridad tras detectar una nueva campaña activa de phishing diseñada para suplantar su identidad y engañar a los usuarios con el objetivo de robar sus contraseñas maestras. Este tipo de ataque representa una amenaza crítica, ya que la contraseña maestra es la llave que protege todas las credenciales almacenadas en la bóveda del usuario.

La campaña maliciosa comenzó aproximadamente el 19 de enero de 2026 y se basa en una técnica clásica pero altamente efectiva: ingeniería social combinada con urgencia artificial. Los atacantes envían correos electrónicos que aparentan proceder de LastPass, en los que se informa falsamente de un mantenimiento inminente de la infraestructura y se insta a los usuarios a crear una copia de seguridad local de su bóveda en un plazo máximo de 24 horas.

Asuntos de correo utilizados en la campaña de phishing

Para aumentar la tasa de éxito, los actores de la amenaza utilizan asuntos cuidadosamente redactados que refuerzan la sensación de urgencia y legitimidad. LastPass ha identificado, entre otros, los siguientes asuntos:

• Actualización de infraestructura de LastPass: Asegura tu bóveda ahora
• Tus datos, tu protección: crea una copia de seguridad antes del mantenimiento
• No te lo pierdas: haz una copia de seguridad de tu bóveda antes del mantenimiento
• Importante: Mantenimiento de LastPass y la seguridad de tu bóveda
• Protege tus contraseñas: Haz una copia de seguridad de tu bóveda (ventana de 24 horas)

Estos mensajes están diseñados para generar ansiedad y presión temporal, empujando al usuario a actuar sin verificar la autenticidad del correo, una de las tácticas más comunes y efectivas en ataques de phishing dirigidos.

Infraestructura maliciosa y redirecciones fraudulentas

Los correos electrónicos redirigen inicialmente a los usuarios a un sitio alojado en una infraestructura aparentemente legítima, concretamente un bucket de Amazon S3:

• group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf
• Desde allí, la víctima es redirigida automáticamente al dominio fraudulento:
• mail-lastpass[.]com

Este dominio ha sido cuidadosamente elegido para simular una dirección legítima de LastPass, aumentando la probabilidad de que incluso usuarios experimentados caigan en el engaño. Una vez en el sitio de phishing, se solicita a la víctima que introduzca su contraseña maestra, lo que permite a los atacantes tomar control total de la bóveda.

Direcciones de correo utilizadas por los atacantes

LastPass también ha compartido las direcciones de correo electrónico desde las que se han originado los mensajes de phishing, entre ellas:

• support@sr22vegas[.]com
• support@lastpass[.]server8
• support@lastpass[.]server7
• support@lastpass[.]server3

Estas direcciones no pertenecen a la infraestructura oficial de LastPass y deben considerarse indicadores claros de compromiso (IOCs) para equipos de seguridad y usuarios finales.

LastPass: nunca pediremos la contraseña maestra

En respuesta a la campaña, LastPass ha sido tajante al reiterar un principio fundamental de su modelo de seguridad: la compañía nunca solicita la contraseña maestra de un usuario, ni por correo electrónico, ni a través de enlaces externos, ni bajo ninguna circunstancia.

Citar"Esta campaña está diseñada para crear una falsa sensación de urgencia, que es una de las tácticas más comunes y efectivas que vemos en ataques de phishing", explicó un portavoz del equipo de Inteligencia, Mitigación y Escalada de Amenazas (TIME) de LastPass.

El portavoz añadió que la empresa está colaborando activamente con socios terceros para desmantelar la infraestructura maliciosa y bloquear los dominios utilizados en la campaña, además de agradecer a los usuarios que continúan reportando actividades sospechosas.

Un patrón recurrente: campañas previas contra usuarios de macOS

Este incidente no es un caso aislado. Meses atrás, LastPass ya había advertido sobre una campaña de robo de información dirigida específicamente a usuarios de Apple macOS, en la que los atacantes utilizaban repositorios falsos de GitHub para distribuir software malicioso que se hacía pasar por gestores de contraseñas y otras aplicaciones populares.

Estas campañas demuestran una tendencia clara: los gestores de contraseñas se han convertido en objetivos prioritarios para los ciberdelincuentes debido al enorme valor de las credenciales que protegen.

Recomendaciones de seguridad para usuarios de LastPass

Ante este tipo de amenazas, los expertos recomiendan:

• No hacer clic en enlaces incluidos en correos electrónicos no solicitados.
• Verificar siempre el dominio antes de introducir cualquier credencial.
• Acceder a LastPass únicamente desde la aplicación oficial o escribiendo manualmente la URL.
• Activar y mantener habilitada la autenticación multifactor (MFA).

Reportar correos sospechosos directamente a LastPass.

En fin...

La nueva campaña de phishing que suplanta a LastPass pone de manifiesto que, incluso los usuarios de herramientas de seguridad avanzadas, siguen siendo vulnerables a ataques basados en ingeniería social. La combinación de urgencia, suplantación de marca y dominios falsos cuidadosamente diseñados sigue siendo altamente efectiva.

Mantenerse informado, desconfiar de solicitudes inesperadas y recordar que ningún proveedor legítimo pedirá una contraseña maestra son medidas clave para evitar caer en este tipo de fraudes. En un panorama de amenazas en constante evolución, la concienciación del usuario continúa siendo una de las defensas más importantes.

Fuente: https://thehackernews.com/