Una nueva campaña de phishing está suplantando alertas legítimas de LastPass para inducir a los usuarios a realizar un supuesto respaldo urgente de su bóveda de contraseñas, con el objetivo de robar la contraseña maestra del servicio. La urgencia del mensaje y la apariencia convincente elevan el riesgo incluso para usuarios avanzados.
Según fuentes de ciberseguridad, los atacantes están enviando correos falsificados que simulan una notificación de mantenimiento urgente. En ellos se insta a los destinatarios a completar el proceso de respaldo en menos de 24 horas. Esta estrategia busca manipular el comportamiento del usuario, conduciéndolo hacia plataformas fraudulentas que imitan el entorno oficial de LastPass.
Puntos relevantes del ataque reportado:
-
Suplantación de correos oficiales de LastPass
-
Enlaces que redirigen a páginas web de phishing
-
Uso de dominios falsificados como mail-lastpass[.]com
-
Envío desde remitentes sospechosos o desconocidos
-
Elevada presión psicológica mediante mensajes urgentes
Los expertos advierten que el principal riesgo radica en el robo de la contraseña maestra, lo que permitiría a los ciberdelincuentes acceder a todas las credenciales almacenadas, posibilitando fraude financiero, compromisos corporativos y daños reputacionales. La falta de concienciación o de controles técnicos adecuados aumenta el impacto potencial.
Los analistas recomiendan reforzar la detección de phishing, verificar siempre la legitimidad de las comunicaciones y evitar hacer clic en enlaces de correos no verificados. Medidas como el uso de filtros antiphishing, auditorías regulares, despliegue de soluciones EDR y segmentación de red pueden minimizar los daños.
Este incidente vuelve a poner de manifiesto la necesidad de mantener una vigilancia constante ante correos inesperados y la importancia de validar cualquier comunicación oficial relativa a la gestión de contraseñas. Los especialistas recuerdan que nunca debe compartirse la contraseña maestra y que debe utilizarse únicamente a través de los canales verificables del servicio.
Más información
- LastPass warns backup request is phishing campaign in disguise
https://www.cybersecuritydive.com/news/backup-request-phishing-campaign-lastpass/810083 - Cuidado si usas LastPass, alertan de este mensaje falso que vas a recibir y es una estafa
https://www.redeszone.net/noticias/seguridad/alerta-lastpass-mensaje-falso-estafa/
La entrada Nueva campaña de phishing suplanta alertas de copia de seguridad de LastPass para robar contraseñas maestras se publicó primero en Una Al Día.
☞ El artículo completo original de SOC lo puedes ver aquí