Una campaña de phishing a gran escala, activa desde mediados de octubre de 2025, está suplantando el flujo de Emergency Access (acceso de emergencia) de LastPass para engañar a los usuarios y robar credenciales. Los atacantes simulan un supuesto “proceso de herencia” tras el fallecimiento del titular, introduciendo urgencia psicológica y llevando a la víctima a “cancelar” un acceso desde un enlace malicioso.
Qué está ocurriendo: suplantación del flujo de acceso de emergencia
El acceso de emergencia de LastPass permite a contactos de confianza solicitar el acceso al almacén en caso de muerte o incapacidad del propietario. Si no se rechaza a tiempo, el sistema lo concede automáticamente. La campaña falsifica notificaciones afirmando que un “familiar ha subido un certificado de defunción” e incluye un ID de solicitud creíble. El enlace redirige a lastpassrecovery[.]com, una web clon donde se pide el master password. En paralelo, se utiliza vishing (llamadas telefónicas) para presionar a la víctima. LastPass no solicita el master password por correo ni por teléfono.
Actor de amenazas: CryptoChameleon (UNC5356) y motivación financiera
Investigadores atribuyen esta oleada a CryptoChameleon (UNC5356), un grupo con motivación económica especializado en el robo de criptoactivos. La agrupación ya ha apuntado a usuarios de LastPass con anterioridad y combina phishing, smishing y vishing para elevar la tasa de conversión de sus fraudes, un patrón observado también en investigaciones públicas de la industria de seguridad.
Evolución técnica: foco en passkeys y autenticación sin contraseña
Además de contraseñas y tokens de sesión, los atacantes buscan passkeys, credenciales basadas en FIDO2/WebAuthn que permiten el inicio de sesión sin contraseña mediante criptografía asimétrica. Su adopción se acelera en ecosistemas como Google, Apple y Microsoft, y gestores como LastPass, 1Password, Dashlane o Bitwarden ya sincronizan passkeys. Los adversarios explotan estos cambios manipulando procesos de registro o “recuperación” en sitios falsos para interceptar aprobaciones.
Infraestructura y señuelos: dominios falsos y páginas de inicio clonadas
Se han observado dominios orientados a passkeys como mypasskey[.]info y passkeysetup[.]com, además de páginas de inicio falsificadas de Okta, Gmail, iCloud y Outlook para capturar credenciales y sesiones. La campaña también incluye kits contra exchanges y wallets como Binance, Coinbase, Kraken y Gemini, evidenciando su interés por activos digitales de alta liquidez.
Impacto y riesgos: master password, tokens de sesión y passkeys
La exposición del master password combinada con el secuestro de sesión puede abrir el almacén si faltan controles adicionales. La recolección dirigida de passkeys busca degradar la seguridad de la autenticación sin contraseña forzando a la víctima a aprobar acciones en un dominio controlado por el atacante. Prácticas recomendadas de CISA y NIST promueven MFA resistente al phishing (FIDO2) para mitigar este vector, y análisis de la industria (p. ej., Microsoft) señalan que la MFA bloquea la inmensa mayoría de compromisos automatizados.
Cómo protegerse: verificación del canal y disciplina de acceso
Verifique la URL de forma manual: no haga clic en enlaces de correos. Abra LastPass desde la app o un marcador propio y confirme cualquier solicitud de acceso de emergencia solo desde el panel oficial.
No introduzca el master password desde enlaces ni por teléfono. Desconfíe de mensajes “urgentes” sobre herencias o cancelaciones. Si tiene dudas, contacte usted mismo con el soporte oficial.
Revise la configuración de Emergency Access: valide contactos de confianza, active notificaciones y reduzca la ventana de autoaprobación. Elimine contactos obsoletos.
Refuerce la autenticación: utilice MFA resistente al phishing (llaves FIDO2), dispositivos de confirmación dedicados, alertas de inicio de sesión y control de sesiones activas. Mantenga navegador y extensiones actualizados y habilite protecciones anti‑phishing.
Si recibe un aviso sospechoso o una llamada, reporte a soporte de LastPass y cambie el master password. Ante indicios de intrusión, cierre sesiones activas y regenere credenciales críticas, incluidas passkeys, en sus servicios prioritarios.
La explotación del acceso de emergencia demuestra cómo los atacantes convierten procesos legítimos en vectores de fraude. Mantener la calma, verificar dominios y operar únicamente desde canales oficiales reduce drásticamente el riesgo. Adopte MFA resistente al phishing, audite sus accesos y forme a su equipo: pequeñas rutinas de higiene digital marcan la diferencia frente a campañas cada vez más sofisticadas.
