LastPass ha advertido de una nueva campaña de phishing que utiliza como señuelo un supuesto aviso de mantenimiento de la plataforma para inducir a los usuarios a “respaldar” sus bóvedas de contraseñas en un plazo de 24 horas. La compañía de gestión de credenciales confirma que no está solicitando ninguna copia de seguridad urgente y que los mensajes forman parte de una operación de ingeniería social diseñada para robar contraseñas maestras o secuestrar cuentas.

Según la firma, los correos maliciosos incluyen enlaces que redirigen a páginas web falsas donde, en apariencia, se ofrece la posibilidad de crear un backup cifrado del almacén de contraseñas. En realidad, estos sitios estarían destinados a capturar las credenciales de acceso o las claves maestras que protegen las bóvedas.

“LastPass NO está pidiendo a los clientes que realicen copias de seguridad de sus bóvedas en las próximas 24 horas; se trata de un intento de generar urgencia en el destinatario, una táctica clásica de phishing y de ingeniería social”, subraya la compañía en un comunicado.

Ad

Infraestructura falsa y dominios sospechosos

El equipo de inteligencia de amenazas de LastPass, conocido como TIME (Threat Intelligence, Mitigation, and Escalation), sitúa el inicio de la campaña el pasado 19 de enero. Los investigadores han detectado correos enviados desde direcciones como support@lastpass[.]server8 y support@sr22vegas[.]com, que imitan el formato de comunicaciones corporativas legítimas.

Entre los asuntos identificados figuran:

  • “LastPass Infrastructure Update: Secure Your Vault Now”

  • “Your Data, Your Protection: Create a Backup Before Maintenance”

  • “Don’t Miss Out: Backup Your Vault Before Maintenance”

  • “Important: LastPass Maintenance & Your Vault Security”

  • “Protect Your Passwords: Backup Your Vault (24-Hour Window)”

Todos ellos comparten un patrón: transmitir una sensación de inmediatez y responsabilidad individual para empujar al usuario a actuar sin verificar la autenticidad del mensaje.

Ingeniería social y suplantación visual

Los correos están cuidadosamente diseñados para parecer comunicaciones oficiales de LastPass. En el texto se afirma que, debido a un próximo mantenimiento de la infraestructura, los usuarios deben crear una copia local de su bóveda para garantizar el acceso continuo a sus credenciales.

“Mientras que sus datos permanecen totalmente protegidos en todo momento, crear una copia local asegura que tendrá acceso ininterrumpido durante la ventana de mantenimiento”, señala el mensaje fraudulento. A continuación, añade que, en caso de “dificultades técnicas imprevistas”, disponer de un respaldo reciente garantizaría que la información siga siendo recuperable.

El botón central, etiquetado como “Create Backup Now”, dirige a los usuarios a un dominio falso, mail-lastpass[.]com, que en el momento de la alerta ya se encontraba fuera de línea. No obstante, la compañía advierte de que estos sitios suelen activarse y desactivarse rápidamente para eludir bloqueos y listas negras.

Un momento elegido estratégicamente

LastPass considera significativo que la campaña se lanzara durante un fin de semana festivo en Estados Unidos. De acuerdo con la empresa, los atacantes buscan aprovechar periodos en los que los equipos de respuesta están menos operativos y los usuarios pueden bajar la guardia, lo que aumenta la probabilidad de éxito del engaño.

Esta estrategia encaja con una tendencia creciente en el cibercrimen: sincronizar campañas masivas de phishing con festivos, eventos de gran impacto mediático o momentos de alta carga emocional, cuando la capacidad de análisis crítico de las víctimas se reduce.

Un objetivo recurrente: los gestores de contraseñas

Los usuarios de gestores de contraseñas se han convertido en un objetivo prioritario para los actores maliciosos. Comprometer una sola cuenta de este tipo puede dar acceso a decenas o cientos de credenciales almacenadas, lo que multiplica el valor del ataque.

LastPass recuerda que nunca solicitará la contraseña maestra por correo electrónico ni pedirá que se introduzca en páginas externas. Ante cualquier mensaje sospechoso, la compañía recomienda no hacer clic en enlaces y reportar el incidente a la dirección [email protected].

No es la primera vez que la marca es utilizada como gancho. En octubre de 2025, se detectó una campaña que simulaba notificaciones de fallecimiento para activar supuestos procesos de herencia digital. Una semana antes, otra oleada de correos falsos alertaba de una brecha de seguridad inexistente e instaba a descargar una versión “más segura” del cliente de escritorio, que en realidad contenía malware.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre