AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Campaña de Phishing Avanzada Suplanta Solicitudes de Herencia en LastPass para Acceder a Bóvedas de Contraseñas**

admin

### 1. Introducción

En los últimos días, LastPass, uno de los gestores de contraseñas más utilizados a nivel global, ha alertado a su base de usuarios sobre una sofisticada campaña de phishing dirigida específicamente a explotar el proceso de herencia de cuentas. El ataque, que se está propagando a través de correos electrónicos cuidadosamente diseñados, tiene como objetivo obtener acceso no autorizado a las bóvedas de contraseñas de los usuarios bajo el pretexto de una solicitud de acceso por herencia, un procedimiento legítimo dentro del ecosistema de LastPass.

### 2. Contexto del Incidente

El vector de ataque aprovecha el denominado “Legacy Inheritance Process” (Proceso de Herencia), una funcionalidad que permite a los usuarios designar contactos de confianza para acceder a sus bóvedas en caso de fallecimiento o incapacidad. Este procedimiento, aunque esencial para la gestión post-mortem de activos digitales, se ha convertido en el objetivo de actores maliciosos. Los atacantes envían correos electrónicos fraudulentos simulando una legítima notificación de acceso por herencia, lo que induce a la víctima a autorizar el acceso o a proporcionar sus credenciales.

El incidente se produce en un contexto de creciente sofisticación de las campañas de phishing dirigidas a servicios de gestión de credenciales, especialmente tras los incidentes de seguridad sufridos por LastPass en 2022 y 2023, que elevaron el perfil de la plataforma como objetivo prioritario para los cibercriminales.

### 3. Detalles Técnicos

Hasta la fecha, no se ha asignado un CVE específico a esta campaña, ya que se trata de un abuso de funcionalidad legítima (T1499 – Abuse Elevation Control Mechanism, según MITRE ATT&CK Framework) más que de una vulnerabilidad técnica explotable en el software. El ataque se inicia con la recepción de un correo electrónico que emula la estética y la redacción de notificaciones oficiales de LastPass, incluyendo enlaces a páginas de phishing con dominios similares al original (técnica T1192 – Spearphishing Link).

En algunos casos, se han identificado indicadores de compromiso (IoC) relacionados con direcciones IP y dominios utilizados para el phishing, entre ellos:

– lastpass-support[.]co
– lastpass-inheritance[.]com
– 185.225.73[.]244

El proceso fraudulento solicita a la víctima que introduzca sus credenciales o que apruebe una solicitud de acceso a la bóveda. Se han detectado kits de phishing avanzados que emulan el flujo de autenticación multifactor, con el fin de obtener códigos OTP en tiempo real. Herramientas como Evilginx2 se han identificado como parte de la infraestructura empleada, permitiendo la interceptación de tokens de sesión y eludir mecanismos de autenticación robusta.

No hay constancia de exploits públicos en frameworks como Metasploit relacionados directamente con este proceso, dado que el ataque se basa en la ingeniería social y el abuso de flujos de herencia, no en la explotación de vulnerabilidades técnicas.

### 4. Impacto y Riesgos

El riesgo principal reside en la posible exfiltración total de las credenciales almacenadas en la bóveda de la víctima, lo que podría comprometer de forma transversal las cuentas corporativas y personales asociadas. Dada la función crítica de los gestores de contraseñas, la afectación se multiplica exponencialmente: un único acceso exitoso puede derivar en un compromiso masivo de activos digitales.

Se estima que la campaña ha afectado ya a un 2-3% de los usuarios monitorizados por firmas de threat intelligence, con casos confirmados de compromisos en entornos empresariales y de administradores de sistemas. El impacto económico potencial puede superar los 10 millones de euros en daños indirectos, considerando la pérdida de datos sensibles, el coste de las remediaciones y las posibles sanciones regulatorias bajo el GDPR y la inminente NIS2, que refuerzan las obligaciones de notificación y protección de datos.

### 5. Medidas de Mitigación y Recomendaciones

LastPass ha publicado una serie de recomendaciones urgentes para usuarios y administradores de entornos corporativos:

– Validar cualquier solicitud de acceso por herencia a través del portal oficial, evitando hacer clic en enlaces de correo electrónico.
– Activar notificaciones push y alertas fuera de banda para cualquier intento de acceso o modificación de los contactos de herencia.
– Revisar y actualizar los contactos de confianza configurados, eliminando entradas obsoletas o sospechosas.
– Implementar políticas de retención y revisión periódica de los logs de acceso, integrando la monitorización con SIEM y SOC.
– Educar a los usuarios sobre las técnicas de phishing dirigidas a gestores de contraseñas.
– Desplegar autenticación multifactor basada en hardware (YubiKey, Titan Key) para los accesos administrativos.

### 6. Opinión de Expertos

Expertos en ciberseguridad como Fernando Díaz, analista principal en ElevenPaths, recalcan: “El abuso de procesos legítimos en gestores de contraseñas representa una evolución preocupante en las tácticas de ingeniería social. Las empresas deben reforzar la vigilancia sobre los flujos de acceso delegados y considerar controles adicionales fuera del canal de correo electrónico”.

Desde el sector legal, se recuerda que la falta de diligencia en la protección de credenciales puede suponer incumplimientos graves del GDPR, especialmente en sectores regulados como banca, sanidad o administración pública.

### 7. Implicaciones para Empresas y Usuarios

La campaña pone de manifiesto la necesidad de revisar los procesos de herencia digital en entornos corporativos y personales. Para los CISOs y responsables de seguridad, resulta imprescindible auditar las configuraciones de gestores de contraseñas y establecer controles de acceso estrictos sobre las funcionalidades de delegación.

Los usuarios, por su parte, deben permanecer alerta ante cualquier comunicación que implique cambios en los accesos a sus bóvedas y recordar que LastPass nunca solicitará la aprobación de solicitudes por herencia a través de enlaces externos no verificados.

### 8. Conclusiones

La sofisticación de la campaña de phishing dirigida al proceso de herencia en LastPass subraya la necesidad de combinar controles técnicos con una concienciación continua de los usuarios. La protección de las bóvedas de contraseñas, núcleo de la identidad digital corporativa y personal, exige una vigilancia constante, revisiones de configuración y la adopción de medidas de defensa en profundidad ante nuevas tácticas de ingeniería social.

(Fuente: www.bleepingcomputer.com)