Si recibes un correo electrónico diciendo que has muerto… se trata de la nueva estafa de phishing de LastPass

Redazione RHC : 29 octubre 2025 09:03

Los desarrolladores del gestor de contraseñas LastPass han advertido a los usuarios de una campaña de phishing a gran escala que comenzó a mediados de octubre de 2025. Los atacantes están enviando correos electrónicos con solicitudes falsas de acceso de emergencia al almacén de contraseñas, relacionadas con la muerte de los usuarios.

Según los expertos, el grupo de hackers CryptoChameleon (también conocido como UNC5356 ), motivado por intereses económicos, está detrás de esta campaña. Este grupo se especializa en el robo de criptomonedas y ya atacó a usuarios de LastPass en abril de 2024.

La nueva campaña ha demostrado ser extensa y tecnológicamente avanzada: los atacantes ahora buscan no solo contraseñas maestras, sino también claves de acceso.

CryptoChameleon utiliza un kit de phishing especializado que ataca monederos de criptomonedas de Binance, Coinbase, Kraken y Gemini. En sus ataques, el grupo utiliza activamente páginas de inicio de sesión falsas de Okta, Gmail, iCloud y Outlook.

En una nueva campaña, los estafadores están abusando de la función de acceso de emergencia de LastPass . El gestor de contraseñas cuenta con un mecanismo de sucesión que permite a los contactos de confianza solicitar acceso a la bóveda en caso de fallecimiento o incapacidad del titular de la cuenta .

Al recibir dicha solicitud, se notifica al titular de la cuenta y, si no cancela la solicitud dentro de un período de tiempo determinado, se le concede automáticamente el acceso a la cuenta.

En sus correos electrónicos, los estafadores afirman que un familiar ha solicitado acceso al espacio de almacenamiento de la víctima subiendo un certificado de defunción. Para que el mensaje resulte más convincente, incluyen un ID de solicitud falso. Se insta al destinatario a cancelar la solicitud de inmediato, si aún está vivo, haciendo clic en el enlace proporcionado.

Como es lógico, estos enlaces redirigen al sitio web fraudulento lastpassrecovery[.]com , donde se solicita a la víctima que introduzca su contraseña maestra . Los investigadores observaron que, en algunos casos, los atacantes incluso llamaban a las víctimas haciéndose pasar por empleados de LastPass y las convencían para que introdujeran sus credenciales en un sitio de phishing.

Una característica distintiva de esta campaña es el énfasis en el robo de claves de acceso. Para ello, los atacantes utilizan dominios especializados como mypasskey[.]info y passkeysetup[.]com.

Passkey es un estándar moderno de autenticación sin contraseña basado en los protocolos FIDO2/WebAuthn. En lugar de contraseñas tradicionales, esta tecnología utiliza cifrado asimétrico. Los gestores de contraseñas modernos (como LastPass, 1Password, Dashlane y Bitwarden ) pueden almacenar y sincronizar las claves de acceso en todos los dispositivos. Y, como demuestra la experiencia, los atacantes se han adaptado rápidamente a estos cambios.

Se recomienda a los usuarios de LastPass que permanezcan alerta y presten mucha atención a cualquier correo electrónico relacionado con solicitudes de acceso de emergencia o a sistemas antiguos. Los desarrolladores recuerdan a los usuarios que siempre verifiquen las URL antes de ingresar sus credenciales y recalcan que los representantes de LastPass nunca se comunicarán con los usuarios para solicitarles que ingresen su contraseña en ningún sitio web.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli