Ataques a Carteras de Criptomonedas Continúan Dos Años Después del Hackeo a LastPass

Introducción

La firma de análisis forense blockchain TRM Labs ha revelado que siguen produciéndose robos de criptomonedas años después del ciberataque sufrido por LastPass en 2022. Según las investigaciones, los atacantes han conseguido descifrar y exfiltrar las claves privadas almacenadas en los cofres cifrados robados, permitiéndoles vaciar carteras digitales de víctimas a largo plazo. Estas operaciones no solo evidencian la persistencia de las amenazas tras una brecha de seguridad, sino también la sofisticación de las técnicas empleadas para el blanqueo de fondos, que involucran exchanges con sede en Rusia y servicios de mezcla de criptomonedas.

Contexto del Incidente o Vulnerabilidad

En agosto de 2022, LastPass, uno de los gestores de contraseñas más populares a nivel mundial, sufrió una intrusión que resultó en la filtración de datos altamente sensibles. Los atacantes lograron acceder a un backup cifrado de los «vaults» (bóvedas) de usuarios, que contenían no solo contraseñas, sino también notas seguras, claves de API y frases semilla de monederos de criptomonedas. Aunque la información estaba protegida mediante cifrado, la posterior obtención de las claves de descifrado por parte de los atacantes —presumiblemente a través de ataques de fuerza bruta u obtención de contraseñas maestras débiles— ha permitido explotar estos datos de forma progresiva y selectiva.

Detalles Técnicos

La vulnerabilidad explotada en 2022 no fue atribuida a un CVE específico, ya que se trató de un ataque dirigido que combinó ingeniería social y acceso a sistemas de desarrollo internos. Los atacantes emplearon TTPs alineados con las técnicas de MITRE ATT&CK como:

– Initial Access: Spearphishing y explotación de credenciales comprometidas (T1078).
– Discovery: Reconocimiento interno para localizar backups cifrados (T1087).
– Exfiltration: Robo de vaults cifrados y su transferencia a sistemas externos (T1041).
– Credential Access: Ataques offline de fuerza bruta/wordlist sobre vaults descargados (T1110).

En lo referente a los IoC (Indicadores de Compromiso), se han detectado direcciones de wallets y hashes vinculados a movimientos sospechosos en exchanges rusos como Garantex y Bitzlato, así como transacciones que pasan por mixers como Tornado Cash. Herramientas como Hashcat y frameworks personalizados se han utilizado para acelerar el descifrado de vaults con passwords débiles.

Impacto y Riesgos

El impacto es significativo y sostenido: TRM Labs ha rastreado cientos de incidentes que suman más de 35 millones de dólares en criptomonedas sustraídas desde 2022 a usuarios de LastPass, con nuevos robos detectados hasta mediados de 2024. Se estima que aproximadamente un 2-3% de los vaults exfiltrados contenían frases semilla o claves privadas de wallets, siendo los usuarios de alto valor (holders de Bitcoin, Ethereum y stablecoins) los más afectados. El riesgo es especialmente alto para quienes no cambiaron sus claves privadas tras el incidente, o para aquellos con contraseñas maestras insuficientemente robustas. Además, la utilización de exchanges fuera del alcance de las autoridades occidentales dificulta la recuperación de fondos y la identificación de los responsables.

Medidas de Mitigación y Recomendaciones

Las siguientes acciones son prioritarias para mitigar el riesgo:

– Rotación inmediata de frases semilla y claves privadas almacenadas en LastPass antes de 2022.
– Implementación de contraseñas maestras largas y complejas (mínimo 16 caracteres, uso de símbolos).
– Activación de 2FA robusta, preferiblemente mediante dispositivos hardware (YubiKey, Titan).
– Revisión y revocación de claves de API y credenciales almacenadas.
– Monitorización continua de transacciones salientes en wallets y uso de alertas automáticas.
– Empleo de soluciones de DLP y SIEM para detectar accesos anómalos a gestores de contraseñas corporativos.

Opinión de Expertos

Especialistas en ciberseguridad, como Josep Albors (director de investigación en ESET España), advierten que “el verdadero peligro de brechas como la de LastPass reside en su efecto persistente: la exposición de datos cifrados puede traducirse en incidentes críticos años después, especialmente si los usuarios confían en contraseñas maestras poco complejas o reutilizadas”. Por su parte, TRM Labs señala que la colaboración internacional es limitada debido al uso de exchanges rusos, lo que resalta la importancia de la prevención técnica y la educación del usuario.

Implicaciones para Empresas y Usuarios

Para empresas bajo el cumplimiento de normativas como GDPR o la futura Directiva NIS2, no solo se trata de la protección de datos personales, sino también de la gestión de credenciales críticas de infraestructura. Los ataques prolongados de este tipo ponen en entredicho la idoneidad de soluciones de almacenamiento centralizado para secretos de alto valor, como claves de acceso a billeteras empresariales o cuentas de servicios cloud. Los controles de seguridad deben complementarse con auditorías periódicas y planes de respuesta ante incidentes prolongados.

Conclusiones

El caso LastPass demuestra que las consecuencias de una brecha de datos pueden extenderse mucho más allá del incidente inicial, afectando a usuarios y empresas durante años. La evolución de técnicas de descifrado y el uso de plataformas opacas para el blanqueo de fondos impone la necesidad de adoptar prácticas de seguridad avanzadas, tanto a nivel individual como corporativo. La vigilancia debe mantenerse activa y la rotación de secretos es hoy más crítica que nunca.

(Fuente: www.bleepingcomputer.com)