AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**LastPass alerta sobre una campaña de phishing dirigida a usuarios mediante falsas notificaciones de mantenimiento**

admin

### 1. Introducción

En las últimas horas, LastPass, uno de los gestores de contraseñas más utilizados a nivel global, ha emitido una alerta sobre una nueva campaña de phishing que afecta directamente a su base de usuarios. El ataque, caracterizado por el envío de correos electrónicos fraudulentos que simulan ser notificaciones oficiales de mantenimiento, tiene como objetivo principal la exfiltración de credenciales y la toma de control de las bóvedas de contraseñas. El incidente pone de manifiesto la sofisticación creciente de las amenazas dirigidas a plataformas críticas de gestión de identidad y acceso (IAM).

### 2. Contexto del Incidente

El auge de los gestores de contraseñas como LastPass ha convertido a estos servicios en objetivos prioritarios para actores maliciosos. En esta ocasión, la campaña detectada explota la confianza en las comunicaciones oficiales de la plataforma. Los correos fraudulentos notifican a los usuarios sobre un supuesto proceso de mantenimiento y les instan a realizar una copia de seguridad de sus bóvedas en un plazo de 24 horas. Esta premura es una táctica clásica de ingeniería social destinada a provocar la acción impulsiva y reducir la capacidad de análisis crítico de la víctima.

En los últimos años, LastPass ha reforzado sus medidas de seguridad tras incidentes previos. Sin embargo, el vector humano sigue siendo un eslabón débil, especialmente cuando los atacantes perfeccionan sus técnicas de suplantación.

### 3. Detalles Técnicos

#### Identificación del vector de ataque

La campaña de phishing utiliza correos electrónicos con remitentes falsificados y un diseño visual idéntico al de las comunicaciones legítimas de LastPass. El mensaje incluye enlaces maliciosos que redirigen a páginas web clónicas, en las que se solicita al usuario su contraseña maestra y, en ocasiones, el código de autenticación multifactor (MFA).

#### Técnicas, Tácticas y Procedimientos (TTP)

– **MITRE ATT&CK:**
– *Initial Access (T1566.001):* Phishing via Email.
– *Credential Harvesting (T1110):* Solicitud de credenciales en sitios falsificados.
– *Impersonation (T1589.002):* Suplantación de marca y dominio.

#### Indicadores de Compromiso (IoC)

– Dominios similares a `lastpass-backup[.]com`, `vaults-lastpass[.]net` y otros registros recientes.
– Certificados SSL Let’s Encrypt válidos.
– Direcciones IP asociadas a proveedores de hosting en Europa del Este y Asia Central.
– Asuntos de correo como: “Urgente: Realiza una copia de seguridad de tu bóveda en las próximas 24h”.

#### Versiones y servicios afectados

No se ha detectado explotación de vulnerabilidades en el software de LastPass (sin CVE asignado a la fecha), sino que el ataque explota exclusivamente el canal de correo electrónico y la ingeniería social.

#### Herramientas y frameworks

Se han identificado kits de phishing previamente asociados a campañas contra servicios financieros y de almacenamiento cloud, con uso de frameworks como Evilginx2 para la interceptación de tokens MFA.

### 4. Impacto y Riesgos

La principal consecuencia de esta campaña es la exposición total de las credenciales y datos almacenados en la bóveda de LastPass, incluyendo contraseñas, notas seguras, datos bancarios y documentos confidenciales. El acceso a la bóveda permite a los atacantes escalar privilegios, realizar movimientos laterales y lanzar ataques de compromiso de cuentas (Account Takeover, ATO) en otros servicios.

El robo de una sola bóveda puede tener impacto en cascada, comprometiendo la seguridad de redes corporativas, sistemas críticos y servicios sensibles. Según datos de LastPass, el 30% de sus usuarios pertenecen a organizaciones sujetas a normativas como GDPR y NIS2, por lo que un incidente de este tipo puede derivar en sanciones y pérdida reputacional.

### 5. Medidas de Mitigación y Recomendaciones

– **Verificación de comunicaciones:** Validar siempre la autenticidad de los correos de LastPass accediendo directamente desde la web oficial, nunca a través de enlaces recibidos por email.
– **Activación y gestión segura de MFA:** Priorizar métodos MFA robustos (TOTP, U2F/FIDO2) y desconfiar de cualquier solicitud inusual de código.
– **Monitorización de accesos:** Revisar los logs de actividad en la cuenta de LastPass ante cualquier acceso sospechoso.
– **Actualización de contraseñas:** En caso de sospecha, cambiar la contraseña maestra y revisar la integridad de los elementos almacenados.
– **Formación y concienciación:** Programas de seguridad para empleados orientados a detección de phishing avanzado.

### 6. Opinión de Expertos

Analistas de amenazas y responsables de SOC coinciden en que la sofisticación de este tipo de campañas demuestra la necesidad de controles adicionales en la gestión de identidad. “La suplantación de notificaciones oficiales es una táctica cada vez más efectiva, especialmente cuando los atacantes utilizan técnicas de pretexting y urgencia”, apunta Pablo González, CISO de una multinacional tecnológica. Desde ElevenPaths advierten: “La protección no puede recaer exclusivamente en el usuario final; las plataformas deben reforzar la autenticación adaptativa y la detección de anomalías”.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, una brecha asociada al robo de bóvedas LastPass puede desencadenar auditorías legales, brechas de cumplimiento (GDPR, NIS2) y pérdidas económicas cuantificadas en millones de euros por fuga de datos y paralización operativa. En el caso de los usuarios, el impacto se traduce en el secuestro de identidades digitales, fraude financiero y exposición de información altamente sensible.

Las organizaciones deben reforzar la supervisión de proveedores de IAM y contemplar planes de respuesta específicos para incidentes de phishing dirigido (spear phishing) y compromiso de credenciales.

### 8. Conclusiones

La campaña de phishing dirigida a usuarios de LastPass es un recordatorio de que la seguridad de la identidad digital exige una vigilancia continua, combinando soluciones técnicas, formación y una estrategia de defensa en profundidad. La sofisticación de los atacantes, junto a la explotación de factores humanos, obliga a los CISOs y equipos de seguridad a revisar políticas de acceso y procedimientos de respuesta ante incidentes de suplantación. Ante la menor sospecha, la colaboración con el equipo de soporte de LastPass y la denuncia del incidente son pasos críticos para contener el riesgo y evitar la propagación.

(Fuente: www.bleepingcomputer.com)