Usuarios del gestor de contraseñas LastPass están siendo objeto de una nueva campaña de phishing que se hace pasar por notificaciones oficiales de mantenimiento. Los atacantes envían correos en los que exigen crear una copia de seguridad del almacén de contraseñas en un plazo de 24 horas, con el único objetivo de engañar a las víctimas para que revelen su master password.
Cómo opera la campaña de phishing que suplanta notificaciones técnicas de LastPass
Según la información disponible, la campaña habría comenzado alrededor del 19 de enero. Las víctimas reciben mensajes supuestamente procedentes del soporte de LastPass desde direcciones como support@lastpass[.]server3 y support@sr22vegas[.]com. El asunto, el logotipo y el diseño imitan el estilo corporativo de LastPass, lo que aumenta la credibilidad del engaño a primera vista.
El contenido del correo indica que, debido a un próximo mantenimiento de la infraestructura, el usuario debe crear de inmediato una copia de seguridad local cifrada de su bóveda para no perder acceso a sus contraseñas. Para ello se incluye un botón destacado con el texto Create Backup Now, que actúa como cebo principal.
Al hacer clic, la víctima no es redirigida al dominio legítimo de LastPass, sino a un sitio fraudulento alojado en mail-lastpass[.]com. En esa página se solicita introducir credenciales y, especialmente, el master password de LastPass. Se trata de un esquema clásico de phishing: los atacantes no necesitan vulnerar directamente la plataforma, sino interceptar la clave maestra que protege todo el almacén de contraseñas.
Ingeniería social, sensación de urgencia y elección del momento
LastPass ha recordado que nunca exige a sus clientes crear copias de seguridad en 24 horas, ni envía correos con ultimátums de este tipo. El uso de plazos muy ajustados y amenazas veladas de pérdida de acceso es una táctica habitual de ingeniería social destinada a reducir la capacidad crítica del usuario y forzar decisiones impulsivas.
La campaña se ha lanzado, además, en un periodo festivo en Estados Unidos, cuando muchas empresas operan con equipos reducidos. En estos contextos, los atacantes suelen tener mayor tasa de éxito: hay menos personal de seguridad disponible, los usuarios tienden a actuar sin consultar y los procedimientos de verificación se aplican con menor rigor.
Por qué los gestores de contraseñas son un objetivo tan valioso para el phishing
Servicios como LastPass, 1Password o Bitwarden concentran en un único lugar el acceso a decenas o cientos de cuentas: correo electrónico, redes sociales, banca online, VPN corporativas y recursos internos de empresa. La comprometida de un solo master password puede traducirse en una cadena de brechas en múltiples sistemas.
Informes de referencia en el sector, como el Verizon Data Breach Investigations Report y las estadísticas del FBI Internet Crime Complaint Center (IC3), coinciden en que el phishing sigue siendo uno de los vectores iniciales de ataque más frecuentes y efectivos. Los ciberdelincuentes priorizan servicios en los que un único par de credenciales otorga acceso a numerosos recursos, exactamente el escenario que proporcionan los gestores de contraseñas.
Historial de campañas de phishing dirigidas a usuarios de LastPass
Las campañas contra usuarios de LastPass no son un fenómeno aislado. En octubre de 2025 se documentó una operación en la que los atacantes enviaban falsos certificados de defunción de titulares de cuentas de LastPass. El objetivo era activar procesos de “herencia” de acceso, tratando de convencer al soporte o a otros usuarios para ceder el control del almacén a un tercero.
En septiembre del año anterior, otra campaña de phishing se centró en la distribución de un supuesto “cliente de escritorio más seguro”. Los correos instaban a desinstalar la aplicación existente por ser “vulnerable” e instalar una versión “protegida”, que en realidad era malware diseñado para robar credenciales y otros datos sensibles.
Cómo identificar correos falsos de LastPass y proteger el master password
Para reducir el riesgo de comprometer un gestor de contraseñas, es recomendable aplicar varias medidas básicas de higiene de seguridad:
1. Verificar el dominio del remitente y las URLs. Los correos legítimos de LastPass proceden de dominios oficiales como lastpass.com. Cualquier variante con palabras adicionales, números o dominios inusuales (por ejemplo, server3 o vegas) debe tratarse como sospechosa. Antes de hacer clic, es esencial pasar el cursor sobre el enlace y comprobar cuidadosamente la dirección.
2. Desconfiar de plazos de 24 horas y amenazas de bloqueo. Frases como “cree una copia de seguridad en 24 horas”, “confirme su cuenta de inmediato” o “perderá el acceso si no actúa ahora” son indicadores claros de phishing. Los proveedores de gran escala rara vez emplean este tipo de presión en sus comunicaciones habituales.
3. No introducir el master password desde enlaces en correos. El acceso a LastPass debe hacerse siempre desde la app oficial o tecleando manualmente la URL en el navegador. Cualquier mensaje que solicite, directa o indirectamente, el master password debe considerarse de alto riesgo.
4. Activar la autenticación multifactor (MFA). Incluso si el master password se ve comprometido, un segundo factor (token físico, código de un solo uso, app de autenticación o biometría) dificulta de forma significativa el acceso ilegítimo y puede frustrar el ataque.
5. Formar a empleados y actualizar políticas de seguridad. En entornos corporativos es fundamental impartir formación periódica en detección de phishing y realizar simulaciones reales. Numerosos estudios demuestran que la concienciación continuada reduce de forma notable el porcentaje de usuarios que caen en campañas de ingeniería social.
La campaña contra LastPass ilustra que, incluso cuando las plataformas aplican controles técnicos avanzados, el factor humano sigue siendo el eslabón más vulnerable. Mantener una actitud crítica frente a los correos de seguridad, proteger el master password, usar autenticación multifactor y promover la formación continua son pasos esenciales para blindar los gestores de contraseñas y salvaguardar los activos digitales más sensibles. Adoptar estas buenas prácticas hoy puede marcar la diferencia frente al próximo intento de phishing que llegue a la bandeja de entrada.
