Una campaña de phishing diseñada meticulosamente utiliza el miedo a perder datos por “mantenimiento” para engañar a los usuarios y hacer que entreguen voluntariamente su llave más valiosa: la contraseña maestra.
La confianza en tu gestor de contraseñas es el eslabón que los criminales intentan romper hoy. El propio equipo de inteligencia de LastPass han emitido una alerta crítica este 21 de enero de 2026 sobre una campaña de ingeniería social activa que busca comprometer las bóvedas digitales de miles de usuarios.
Aprovechando el fin de semana largo en Estados Unidos (por el día de Martin Luther King Jr.) para evadir la respuesta rápida de los equipos de seguridad, los atacantes lanzaron una oleada de correos electrónicos fraudulentos instando a las víctimas a realizar una “copia de seguridad” inmediata.
El Engaño: “Haz un Backup o Pierde tus Datos”
La campaña se basa en la urgencia y el miedo.
- El Correo: Los usuarios reciben un email con asuntos alarmantes como:
- “LastPass Infrastructure Update: Secure Your Vault Now”
- “Protect Your Passwords: Backup Your Vault (24-Hour Window)”
- “Your Data, Your Protection: Create a Backup Before Maintenance”
- La Historia: El cuerpo del mensaje informa falsamente que LastPass realizará un mantenimiento de infraestructura y que, para evitar la pérdida de datos, el usuario debe realizar una copia de seguridad manual de su bóveda en las próximas 24 horas.
- La Trampa: El correo incluye un botón prominente de “Create Backup Now”.
El Mecanismo Técnico
Al hacer clic en el enlace, la víctima no es llevada a LastPass.com, sino a una cadena de redirecciones diseñada para burlar filtros:
- Paso 1: El enlace dirige a un recurso alojado en Amazon AWS S3 (group-content-gen2.s3.eu-west-3.amazonaws[…]), lo que le da una apariencia de legitimidad técnica a los ojos de algunos filtros de spam.
- Paso 2: Desde allí, redirige al dominio malicioso final: mail-lastpass[.]com.
- El Robo: En este sitio clonado, se solicita al usuario que ingrese su Contraseña Maestra para “autenticar el respaldo”. Si el usuario la introduce, los atacantes obtienen acceso total a todas sus contraseñas, tarjetas de crédito y notas seguras almacenadas.
Indicadores de Compromiso (IoCs)
LastPass ha identificado los siguientes activos relacionados con el ataque:
- Dominios Maliciosos: mail-lastpass[.]com, group-content-gen2.s3.eu-west-3.amazonaws[…]
- Remitentes Falsos: support@sr22vegas[.]com, support@lastpass.server8, support@lastpass.server3.
Recomendaciones
LastPass ha sido enfático: Nunca te pedirán tu contraseña maestra por correo electrónico, ni te exigirán realizar copias de seguridad bajo amenaza de pérdida de datos por mantenimiento.
- Ignora la Urgencia: Cualquier correo de un servicio de seguridad que te dé un plazo de “24 horas” para actuar es casi seguro una estafa.
- Verifica la URL: Si necesitas hacer una gestión en tu cuenta, no uses los enlaces del correo. Abre tu navegador y escribe lastpass.com manualmente o usa la extensión oficial instalada en tu navegador.
- Reporta: Si recibiste este correo, reenvíalo a abuse@lastpass.com y elimínalo de inmediato.
