El hackeo de LastPass de 2022 continúa teniendo consecuencias directas para titulares de criptomonedas años después del incidente. De acuerdo con un análisis de TRM Labs, las copias de seguridad cifradas de los vaults robadas en aquella brecha siguen siendo explotadas mediante ataques de fuerza bruta offline para romper master passwords débiles, obtener llaves privadas y extraer activos digitales a monederos controlados por los atacantes.
Brecha de LastPass: de incidente puntual a riesgo persistente para gestores de contraseñas
La cadena de eventos se originó en 2022 con la comprometida de un equipo doméstico de un empleado de LastPass. Desde ese punto, los atacantes lograron acceder a datos internos, entre ellos backups cifrados de los vaults de usuarios. Estos vaults no solo almacenaban credenciales de acceso, sino también llaves privadas de criptomonedas, frases semilla y datos de acceso a exchanges, es decir, información altamente crítica.
LastPass aplica un modelo de cifrado del lado del cliente: el contenido del vault se cifra en el dispositivo del usuario y queda protegido por un master password que el proveedor nunca conoce. Este diseño, correcto en principio, tiene un efecto colateral importante: quien obtenga el archivo cifrado puede probar contraseñas sin límites de intentos, al no depender de los servidores del servicio.
Fuerza bruta offline: el talón de Aquiles de los master passwords débiles
TRM Labs documenta que los actores de amenaza han dedicado años a realizar ataques de fuerza bruta offline contra los vaults filtrados. A diferencia de un inicio de sesión online, donde se aplican bloqueos de cuenta, CAPTCHA o MFA, en el escenario offline solo importan la capacidad de cómputo y el tiempo disponible.
Cualquier vault protegido por un master password corto, predecible o reutilizado (palabras comunes, fechas de nacimiento, patrones de teclado) acaba siendo vulnerable. Según los analistas, la brecha de LastPass se ha convertido en una especie de “ventana de oportunidad plurianual”: muchos usuarios no cambiaron su master password ni revisaron qué secretos almacenaban, lo que permitió que la campaña de robos se mantuviera, al menos, hasta finales de 2025.
Robo y lavado de criptomonedas vinculados al caso LastPass
TRM Labs ha rastreado más de 35 millones de dólares en criptomonedas robadas relacionados con la filtración de LastPass. De ese total, aproximadamente 28 millones de dólares fueron convertidos a bitcoin y blanqueados utilizando Wasabi Wallet entre finales de 2024 y comienzos de 2025. Una nueva ola de ataques detectada en septiembre de 2025 suma otros 7 millones de dólares en pérdidas.
Los patrones de movimiento en blockchain apuntan a una ecosistema ciberdelincuencial rusoparlante. Por un lado, se reutilizan servicios y exchanges ya observados en investigaciones previas sobre grupos de esa región. Por otro, aparece un conjunto estable de monederos que interactúan con mezcladores antes y después del proceso de “mixing”, lo que indica una infraestructura operativa mantenida en el tiempo.
Según el informe, parte de los fondos robados pasan por el servicio Cryptomixer[.]io y posteriormente se retiran a través de las plataformas de intercambio Cryptex y Audia6. En septiembre de 2024, el Departamento del Tesoro de Estados Unidos incluyó a Cryptex en la lista de sanciones por su presunta participación en operaciones de lavado de criptomonedas y dinero fiduciario, lo que refuerza las sospechas de su uso sistemático en esquemas ilícitos.
Factores humanos y técnicos que explican la persistencia de la amenaza
El prolongado éxito de estas intrusiones se explica principalmente por el factor humano. Muchos usuarios, aun conociendo el incidente, no actualizaron su master password ni dejaron de guardar frases semilla o llaves privadas en el gestor de contraseñas. La percepción de que “si está cifrado, está seguro” lleva a subestimar la importancia de la calidad de la contraseña maestra.
La seguridad real de un gestor de contraseñas no depende solo del algoritmo de cifrado (por ejemplo, AES‑256), sino también de la robustez del master password y de la configuración de la función de derivación de clave (KDF), como PBKDF2 o Argon2. Un número bajo de iteraciones combinado con una contraseña corta reduce drásticamente el coste de la fuerza bruta offline. Con la disponibilidad de GPU potentes y servicios en la nube, incluso combinaciones “aparentemente complejas” pero breves pueden ser insuficientes.
Cómo proteger gestores de contraseñas, frases semilla y llaves privadas
Buenas prácticas para un uso seguro de gestores de contraseñas
Para mitigar el riesgo en servicios como LastPass u otros gestores de contraseñas, se recomiendan las siguientes medidas:
– Definir un master password único y largo, preferiblemente una frase de paso de al menos 14–16 caracteres, fácil de recordar pero difícil de adivinar.
– Verificar en la configuración que se utilice una KDF moderna con un número elevado de iteraciones (por ejemplo, PBKDF2 o Argon2 debidamente endurecidos).
– Activar autenticación multifactor (MFA) allí donde esté disponible para reducir el impacto de filtraciones futuras.
– Ante cualquier noticia de compromiso del servicio, cambiar inmediatamente el master password y actualizar las credenciales más sensibles.
Protección específica para frases semilla y llaves privadas de criptomonedas
Las frases semilla y llaves privadas requieren un nivel de protección superior al de las contraseñas convencionales. Entre las prácticas recomendadas se encuentran:
– Evitar almacenar frases semilla en gestores de contraseñas en la nube, servicios de correo u otros sistemas conectados permanentemente a Internet.
– Utilizar monederos hardware y soluciones de almacenamiento en frío para reducir la superficie de ataque.
– Crear copias de seguridad de las seed phrases en soportes físicos (papel, placas metálicas) y guardarlas en ubicaciones físicas seguras y separadas.
– Monitorizar de forma periódica las direcciones propias en blockchain y habilitar alertas de actividad en exchanges y wallets siempre que sea posible.
El caso LastPass demuestra que una única filtración de vaults cifrados puede traducirse en campañas de robo de criptomonedas prolongadas durante años, impulsadas por fuerza bruta offline y contraseñas maestras débiles. Revisar hoy la calidad del master password, endurecer la configuración del gestor de contraseñas y establecer un modelo más seguro para custodiar frases semilla y llaves privadas ya no es solo una “buena práctica”: es un requisito básico para preservar la integridad de los activos digitales. Conviene actuar de manera proactiva y realizar una auditoría personal de contraseñas y métodos de almacenamiento antes de que el próximo incidente ponga a prueba esas defensas.
