Ciberdelincuentes rusos explotan contraseñas débiles de LastPass para robar criptomonedas en 2025

Introducción

El ecosistema de la ciberseguridad enfrenta una nueva oleada de incidentes relacionados con el robo de activos digitales, vinculados a la brecha de seguridad sufrida por LastPass en 2022. Según un informe reciente de TRM Labs, los archivos de respaldo cifrados (vault backups) sustraídos durante aquel incidente han sido objeto de ataques dirigidos a usuarios con contraseñas maestras débiles, permitiendo el acceso y vaciado de carteras de criptomonedas hasta finales de 2025. El análisis revela la participación activa de actores rusos en estas operaciones, lo que subraya la persistencia y sofisticación de las amenazas en el entorno de la gestión de credenciales digitales.

Contexto del Incidente

En agosto de 2022, LastPass, uno de los gestores de contraseñas más utilizados a nivel mundial, sufrió una intrusión que resultó en la exfiltración de volúmenes significativos de datos cifrados pertenecientes a sus usuarios. Aunque la empresa inicialmente minimizó el alcance, posteriormente se confirmó que los atacantes accedieron a backups cifrados de las bóvedas de usuarios, junto con metadatos críticos como direcciones de correo electrónico, nombres de usuario y URLs asociadas.

A lo largo de 2023 y 2024, múltiples informes alertaron sobre intentos de descifrado de estos archivos cifrados, especialmente enfocados en usuarios que no habían seguido las mejores prácticas de creación de contraseñas maestras robustas. La tendencia, lejos de remitir, se ha intensificado en 2025, coincidiendo con un alza en el valor de los activos digitales y el interés de grupos delictivos especializados.

Detalles Técnicos

El incidente se cataloga bajo el identificador CVE-2022-36537, relativo a la exposición de información cifrada pero potencialmente vulnerable a ataques de fuerza bruta. El vector de ataque principal consiste en la explotación de contraseñas maestras débiles o reutilizadas, en combinación con técnicas de cracking avanzado empleando hardware especializado (GPUs, clusters en la nube) y diccionarios personalizados extraídos de filtraciones previas.

TRM Labs ha identificado patrones TTP (Tactics, Techniques and Procedures) consistentes con el framework MITRE ATT&CK, concretamente las técnicas T1110 (Brute Force) y T1552 (Unsecured Credentials). Se han observado campañas masivas de cracking automatizado sobre los vaults cifrados, optimizadas mediante herramientas de código abierto como hashcat y John the Ripper, así como variantes personalizadas para descifrado PBKDF2-SHA256, el algoritmo utilizado por LastPass hasta 2022.

Los Indicadores de Compromiso (IoC) incluyen direcciones IP asociadas a infraestructura rusa, patrones de acceso a exchanges de criptomonedas y movimientos de fondos hacia billeteras identificadas como de alto riesgo por organismos de inteligencia financiera.

Impacto y Riesgos

Según estimaciones de TRM Labs y Chainalysis, el monto de criptomonedas sustraídas asciende a más de 70 millones de dólares desde 2023, con un incremento notable en el último trimestre de 2025. El 89% de las víctimas no había actualizado sus contraseñas maestras tras la brecha, y el 63% empleaba combinaciones fácilmente crackeables (menos de 12 caracteres, ausencia de símbolos o patrones predecibles).

El riesgo se extiende más allá del ámbito particular, afectando a pequeñas empresas y profesionales que gestionan activos digitales o información sensible a través de LastPass. La exposición de metadatos también facilita ataques de spear phishing y movimientos laterales en infraestructuras empresariales.

Medidas de Mitigación y Recomendaciones

La mitigación pasa por varias líneas de actuación crítica:

– Reforzar la política de contraseñas: exigir contraseñas maestras superiores a 16 caracteres, con entropía alta y sin relación con datos personales.
– Habilitar autenticación multifactor (MFA) basada en hardware (por ejemplo, YubiKey o FIDO2).
– Auditar los vaults y modificar todas las credenciales almacenadas que pudieran haber sido expuestas.
– Monitorizar movimientos inusuales en cuentas de correo y exchanges vinculados.
– Utilizar herramientas de detección y respuesta (EDR) para identificar actividad anómala relacionada con la exfiltración o descifrado de vaults.
– Revisar el cumplimiento de la GDPR y la directiva NIS2 en la gestión de incidentes y notificación a usuarios afectados.

Opinión de Expertos

Especialistas del sector, como Fernando Díaz (CISO en una multinacional financiera), advierten que “la confianza ciega en los gestores de contraseñas no exime de la responsabilidad de emplear credenciales robustas y rotar periódicamente los secretos”. Desde la comunidad Red Team, se subraya la necesidad de adoptar algoritmos de derivación de claves más robustos, como Argon2id, y aumentar los ciclos de hashing de forma regular.

Implicaciones para Empresas y Usuarios

La prolongada ventana de explotación del incidente de LastPass revela la importancia de una gestión proactiva de riesgos y la necesidad de integrar la ciberhigiene en todas las capas de la organización. Empresas que confían en gestores de contraseñas como pilar de su estrategia de seguridad deben reevaluar sus políticas de acceso y reforzar la formación de usuarios para prevenir incidentes por contraseñas débiles.

En el plano regulatorio, la falta de respuesta diligente puede derivar en sanciones por incumplimiento de GDPR y NIS2, especialmente si la fuga de credenciales afecta a información sensible o datos personales de clientes europeos.

Conclusiones

El caso LastPass demuestra que la seguridad de las credenciales no termina con el cifrado, sino que depende de la fortaleza de la contraseña maestra y de una gestión activa de los riesgos asociados a la exposición de datos cifrados. La sofisticación de los atacantes y su persistencia en explotar archivos robados años después subraya la necesidad de una respuesta coordinada y una cultura de seguridad sólida tanto a nivel individual como corporativo.

(Fuente: feeds.feedburner.com)