LastPass ha alertado sobre una campaña de phishing a gran escala iniciada a mediados de octubre de 2025. Los atacantes envían notificaciones falsas sobre un supuesto “acceso de emergencia” activado por el fallecimiento del titular del cofre, con el objetivo de forzar al usuario a seguir enlaces maliciosos y proporcionar su master password o aprobar acciones que abren la puerta a credenciales y criptoactivos.
Quién está detrás: CryptoChameleon (UNC5356) y su motivación financiera
La campaña se atribuye a la agrupación CryptoChameleon (UNC5356), conocida por ataques contra usuarios de LastPass en 2024. En esta oleada, el grupo amplía alcance y técnicas: ya no solo persigue master passwords, sino también passkeys, el método de autenticación sin contraseña basado en FIDO2/WebAuthn que adoptan cada vez más gestores de contraseñas.
Vector de ataque: suplantación de herencia y landing pages de phishing
Abuso del mecanismo de acceso de emergencia de LastPass
LastPass permite delegar acceso a un contacto de confianza si el propietario fallece o pierde capacidad. Si el titular no revoca el pedido en el tiempo definido, el acceso se concede. Los atacantes imitan este flujo con correos que incluyen un falso “ID de solicitud” y la afirmación de que un familiar subió un certificado de defunción, incitando a la víctima a “cancelar de inmediato” mediante un enlace fraudulento.
Dominios falsos e ingeniería social multicanal
Los enlaces conducen a sitios como lastpassrecovery[.]com para capturar la master password, y a dominios orientados a manipular el flujo de passkeys, por ejemplo mypasskey[.]info y passkeysetup[.]com. La operación combina correo y teléfono: en algunos casos, los actores llaman haciéndose pasar por personal de LastPass para guiar a la víctima a páginas clonadas.
Objetivo: criptoactivos y credenciales corporativas
El kit de phishing de CryptoChameleon apunta a usuarios de Binance, Coinbase, Kraken y Gemini, y despliega páginas falsas de inicio de sesión de Okta, Gmail, iCloud y Outlook. Esta combinación facilita comprometer cuentas personales y laborales, escalar privilegios en ecosistemas corporativos con SSO/IdP y maximizar la monetización de accesos, especialmente mediante transferencias de criptomonedas.
Por qué ponen el foco en las passkeys: claves, límites y riesgos
Las passkeys usan criptografía asimétrica: la clave privada permanece en el dispositivo y el servicio valida una firma vinculada al dominio (origen). En condiciones normales, este diseño reduce drásticamente el phishing. Sin embargo, los atacantes intentan eludir la protección con dominios muy parecidos, presión psicológica y flujos engañosos que inducen a autorizar acciones en un sitio controlado por ellos. El problema no es la ruptura de la criptografía, sino la manipulación del usuario durante el proceso de autenticación o recuperación.
Cómo identificar la campaña y reforzar la defensa
– Verifique cuidadosamente el URL antes de introducir datos. Los dominios oficiales de LastPass no incluyen prefijos/sufijos inusuales ni términos como “recovery”, “setup” o “security” fuera de su nomenclatura habitual.
– No acceda desde correos sobre “acceso de emergencia”. Navegue manualmente a LastPass y compruebe las notificaciones dentro del panel de su cuenta.
– LastPass no realiza llamadas telefónicas para solicitar contraseñas ni para validar acciones en sitios de terceros. Considérelo una señal clara de ingeniería social.
– Active y haga cumplir la autenticación multifactor (MFA) en servicios críticos. La MFA limita impactos incluso ante errores del usuario.
– Capacite al equipo contra el phishing. Informes como Verizon DBIR 2024 y los boletines de FBI IC3 mantienen a la ingeniería social entre los vectores de acceso inicial más frecuentes.
La explotación del flujo de “acceso de emergencia” hace que el fraude sea verosímil para usuarios domésticos y empleados con SSO/IdP. La atención a las passkeys evidencia la rapidez con la que los adversarios adaptan sus tácticas a nuevos estándares de autenticación. Mantenga la vigilancia: confirme acciones sensibles solo desde el interfaz oficial, revise periódicamente su configuración de seguridad (incluidos contactos de confianza y herencia) y reporte a soporte de LastPass cualquier correo o llamada sospechosa. Una cultura de verificación, combinada con MFA y formación continua, sigue siendo la defensa más eficaz frente al phishing dirigido.
