LastPass alerta sobre correos falsos de mantenimiento usados para robar contraseñas maestras

LastPass ha emitido una advertencia de seguridad urgente tras detectar una campaña activa de phishing que busca robar las contraseñas maestras de sus usuarios mediante correos electrónicos fraudulentos. La operación maliciosa comenzó el 19 de enero de 2026 y se basa en mensajes que se hacen pasar por comunicaciones oficiales del equipo de soporte de la plataforma.

Según la información confirmada por la compañía, los atacantes envían correos electrónicos que afirman falsamente que LastPass está realizando tareas de mantenimiento y que, como parte del proceso, los usuarios deben realizar una copia de seguridad inmediata de su bóveda en un plazo de 24 horas. El objetivo real es inducir a las víctimas a entregar su contraseña maestra a través de sitios web falsificados.

Los mensajes utilizan técnicas clásicas de ingeniería social, generando una sensación de urgencia y presión temporal para reducir la capacidad de análisis del usuario. LastPass ha reiterado de forma explícita que nunca solicita contraseñas maestras, copias de seguridad de bóvedas ni acciones críticas a través de correos electrónicos no solicitados.

Un aspecto relevante de esta campaña es su momento de lanzamiento, ya que fue activada durante un fin de semana festivo en Estados Unidos. Los expertos señalan que esta elección no es casual, ya que los actores de amenazas suelen aprovechar periodos de menor disponibilidad de personal de seguridad y tiempos de respuesta más lentos para aumentar la efectividad de sus ataques.

La infraestructura utilizada en el phishing incluye un redireccionamiento inicial alojado en servicios de Amazon S3 comprometidos, que conduce posteriormente a un dominio fraudulento diseñado para imitar la apariencia y funcionalidad de los servicios legítimos de LastPass. Este enfoque dificulta la detección temprana y aumenta la credibilidad del engaño.

LastPass recomienda a los usuarios eliminar de inmediato cualquier correo electrónico que mencione mantenimiento urgente, solicitudes de respaldo de bóvedas o requerimientos de credenciales. La empresa enfatiza que todas las comunicaciones oficiales se realizan a través de canales verificados y nunca incluyen solicitudes sensibles.

Para organizaciones y entornos corporativos, la compañía aconseja reforzar los controles de seguridad del correo electrónico, bloquear remitentes maliciosos conocidos y capacitar al personal para identificar señales comunes de phishing, como lenguaje alarmista, plazos artificiales y enlaces externos que solicitan información confidencial.

LastPass también informó que se encuentra trabajando junto a socios externos para desmantelar la infraestructura maliciosa asociada a esta campaña. Los usuarios que hayan recibido mensajes sospechosos o hayan interactuado con ellos pueden reportarlos directamente a abuse@lastpass.com, facilitando el análisis y la mitigación del ataque.

Este incidente vuelve a subrayar la importancia de mantener una postura de desconfianza ante correos inesperados, incluso cuando aparentan provenir de proveedores legítimos, especialmente cuando se trata de gestores de contraseñas y servicios críticos de seguridad digital.