LastPass ha alertado sobre una campaña de phishing activa que trata de suplantar al gestor de contraseñas para engañar a usuarios y lograr que entreguen su contraseña maestra. La oleada de correos fraudulentos, detectada a partir del 19 de enero de 2026, usa excusas relacionadas con un supuesto mantenimiento y solicita a las víctimas que “creeen una copia local” de su bóveda en un plazo muy corto, con la intención de provocar una reacción impulsiva.
Los atacantes envían mensajes con asuntos que imitan comunicaciones oficiales, buscando transmitir urgencia y legitimidad. Desde LastPass explican que esta táctica —presionar con plazos cortos y alertas de seguridad— es una de las más efectivas en campañas de phishing porque empuja a los usuarios a saltarse comprobaciones sencillas. La compañía ha insistido en que nunca solicitará la contraseña maestra por correo y que no impondrá plazos de acción inmediata para recuperar o exportar bóvedas.
El engaño redirige a las víctimas primero a una infraestructura controlada por los atacantes, alojada en un bucket S3 con una ruta parecida a "group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf", y desde allí a un dominio que simula pertenecer a LastPass, identificado como mail-lastpass[.]com. LastPass ha publicado información sobre la campaña y está coordinando con socios externos para intentar derribar la infraestructura maliciosa; su aviso oficial puede consultarse en su blog corporativo: blog.lastpass.com. Además, el dominio fraudulento ha sido registrado y analizado en servicios de inteligencia como VirusTotal: virusTotal — mail-lastpass[.]com.
LastPass también ha facilitado las direcciones de correo desde las que llegan los mensajes maliciosos, para ayudar a los usuarios a identificarlos: por ejemplo, aparecen remitentes como support@sr22vegas[.]com y variantes que intentan parecer legítimas (support@lastpass[.]server8, support@lastpass[.]server7, support@lastpass[.]server3). Mostrar las direcciones de origen facilita comprobar si un correo procede de una fuente real o no, ya que los atacantes a menudo emplean dominios parecidos o servidores comprometidos para dar apariencia de autenticidad.
Qué riesgo supone caer en esta trampa. Si un atacante consigue la contraseña maestra, tiene potencial acceso a todo el conjunto de credenciales almacenadas en la bóveda del usuario, lo que puede permitir la toma de cuentas de servicios críticos, robo de información financiera y suplantación de identidad. Aunque muchas bóvedas están cifradas y algunos gestores aplican mecanismos de protección adicionales, la exposición de la contraseña maestra sigue siendo el camino más directo para un compromiso grave.
Para evitar ser víctima conviene seguir prácticas sencillas pero efectivas: si recibes un correo que te exige una acción inmediata, no pulses enlaces ni descargues archivos adjuntos; abre el gestor de contraseñas o la web oficial escribiendo la URL de manera manual o usando un marcador fiable; comprueba el remitente con calma y revisa la ortografía y el tono del mensaje; y, siempre que sea posible, activa factores de autenticación adicionales para proteger el acceso a tu cuenta. Las autoridades y equipos de ciberseguridad recomiendan pasos similares como medidas generales frente al phishing —puedes leer guías prácticas en entidades públicas como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) CISA — consejos contra phishing o en el Centro Nacional de Seguridad Cibernética del Reino Unido NCSC — phishing.
LastPass ha agradecido a los clientes que reportan correos sospechosos y ha remarcado la importancia de la colaboración entre usuarios y equipos de seguridad para atajar este tipo de campañas. Medios especializados en ciberseguridad también han recogido la noticia y han entrevistado a portavoces del equipo de Inteligencia de Amenazas, Mitigación y Escalado (TIME) de la compañía, que subrayan la intención de los atacantes de generar un falso sentimiento de urgencia para forzar errores humanos; más información y contexto puede encontrarse en portales tecnológicos como The Hacker News.
Si crees que has respondido a un correo de este tipo y has introducido tu contraseña maestra en una página sospechosa, actúa con rapidez: cambia la contraseña maestra desde un dispositivo seguro, revisa los accesos y sesiones activas en tu cuenta, y considera restablecer contraseñas de servicios críticos si hay indicios de uso indebido. También es recomendable notificar el incidente a LastPass y a los canales de soporte del servicio afectado para que puedan tomar medidas y alertar a otros usuarios.
La lección que deja este episodio es doble: por un lado, los atacantes continúan sofisticando sus métodos para explotar la prisa y la confianza; por otro, la respuesta colectiva —usuarios atentos, proveedores que publican avisos y plataformas que actúan para retirar infraestructuras maliciosas— sigue siendo la defensa más efectiva. Mantener hábitos de seguridad digital básicos y desconfiar de las solicitudes urgentes por correo sigue siendo, hoy más que nunca, una medida imprescindible.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...