Hace poco LastPass alertó sobre una campaña de phishing que se disfraza como un aviso de mantenimiento y pide a los usuarios que hagan una copia de seguridad de su bóveda en un plazo muy corto. Los correos fraudulentos buscan generar prisa y confianza a la vez: presentan un supuesto botón para “crear una copia de seguridad” que redirige a un sitio falso donde los atacantes intentan hacerse con el control de cuentas o con la contraseña maestra del usuario.
Lo más importante: LastPass no está solicitando a usuarios que respalden sus bóvedas en 24 horas. La compañía lo explicó en su comunicado oficial y pide que cualquier sospecha se reporte a su equipo de abuso mediante [email protected]. Puedes leer el aviso original de LastPass en su blog para ver los detalles y las recomendaciones directas de la empresa: LastPass: nueva campaña de phishing dirigida a clientes.
Según la investigación de su equipo de inteligencia, la campaña comenzó a mediados de enero y los mensajes se enviaron desde direcciones construidas para parecer legítimas, por ejemplo variantes con dominios sospechosos como [email protected] o [email protected]. El enlace del botón lleva a un dominio falso reportado por LastPass como mail-lastpass.com, que en el momento del aviso estaba fuera de servicio, aunque ese tipo de páginas pueden reaparecer con variaciones rápidamente.
El gancho empleado es clásico: un aviso que habla de una “actualización de infraestructura” o de una “ventana de mantenimiento” y que remata con la urgencia de hacer una copia local para no perder acceso. Ese sentido de alarma es precisamente lo que buscan los atacantes: forzar una reacción rápida y evitar que la víctima piense con calma o verifique la autenticidad del mensaje.
Por qué es peligroso. Si alguien introduce su contraseña maestra, o completa formularios en un sitio controlado por un atacante, se corre el riesgo de que la bóveda entera quede comprometida. Aunque los gestores de contraseñas cifran los datos, la contraseña maestra sigue siendo la llave: quien la capture puede descifrar los contenidos o usar el acceso para iniciar secuencias de restablecimiento en otros servicios.
Además, los malos actores suelen elegir momentos en los que las empresas pueden estar menos disponibles para responder rápidamente, por ejemplo fines de semana festivos, lo que reduce la probabilidad de una detección y mitigación temprana.
Qué hacer si recibes uno de estos correos. No pulses enlaces ni descargues nada del mensaje. Comprueba con calma el remitente real, pasa el cursor por encima del enlace para ver la dirección real sin clicar y abre la aplicación oficial o la web de LastPass desde tu navegador escribiendo la URL directamente o usando un marcador seguro. Activa la autenticación multifactor si no la tienes, revisa la actividad de inicio de sesión y las sesiones activas desde tu cuenta, y cambia la contraseña maestra solamente desde las vías oficiales si crees que pudo haber sido expuesta.
Si ya diste datos en una página falsa, actúa con rapidez: cambia la contraseña maestra, revoca sesiones y claves, y considera restaurar desde una copia segura si tu gestor lo permite. Reporta el incidente a LastPass y a las autoridades o plataformas que correspondan. Para guía general sobre cómo reconocer y reportar phishing, los centros de seguridad nacionales ofrecen recursos útiles, por ejemplo las recomendaciones del Centro Nacional de Seguridad Cibernética del Reino Unido: NCSC – Phishing, o los consejos del CISA en Estados Unidos: CISA – How to protect yourself from phishing.
Es importante recordar que LastPass y otros gestores de contraseñas son objetivos frecuentes porque centralizan credenciales valiosas. En los últimos meses se han visto campañas con señuelos muy diferentes —desde falsas alertas de brechas hasta historias emocionales— que prueban la creatividad de los atacantes. Por eso la recomendación constante es dudar de correos inesperados que pidan acciones urgentes y verificar siempre por canales oficiales antes de introducir contraseñas o descargar herramientas.
La mejor defensa es la sospecha informada y la prudencia digital: nunca envíes tu contraseña maestra en respuesta a un correo, evita seguir enlaces para gestionar tu cuenta cuando puedas entrar por la app o el sitio oficial, y mantén la autenticación multifactor activada. Si necesitas más información o quieres comprobar un correo, LastPass mantiene recursos de soporte en su página de ayuda: Soporte de LastPass, y recuerda reportar cualquier intento a [email protected].
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...