¿Usas un gestor de contraseñas? Tu contraseña maestra es el blanco: con un solo clic pueden robarte toda la vida digita

¿Usas un gestor de contraseñas? Tu contraseña maestra es el blanco: con un solo clic pueden robarte toda la vida digita

Los usuarios instalan por sí mismos un troyano que desactiva los sistemas de protección.

image

En las últimas semanas han aumentado las campañas de phishing, en las que los atacantes se hacen pasar por gestores de contraseñas populares — LastPass, Bitwarden y 1Password. Su objetivo es lograr que los usuarios revelen la contraseña maestra, que da acceso a todas las credenciales, incluidas las de sistemas corporativos. El escenario de los ataques se basa en la confianza: estos servicios se consideran un almacén fiable de toda la identidad digital.

Los usuarios de LastPass y Bitwarden comenzaron a recibir correos falsos con notificaciones sobre supuestas intrusiones en los servicios. Se anima a los destinatarios a descargar «una nueva versión segura» de la aplicación de escritorio que, en realidad, instala la herramienta legítima de administración remota (RMM) Syncro, utilizada por proveedores de servicios de TI para dar soporte a clientes. A través de ese agente, los atacantes posteriormente implantan otro software — ScreenConnect — que ofrece control total sobre los dispositivos infectados.

Según el aviso oficial de LastPass, la empresa no fue comprometida y los correos son un ejemplo típico de ingeniería social. Los mensajes falsos se envían desde dominios como «hello@lastpasspulse[.]blog» y «hello@lastpasjournal[.]blog», y su contenido utiliza formulaciones verosímiles sobre «instaladores .exe vulnerables» y la necesidad de pasarse al «nuevo formato MSI». En los correos se alega que las versiones antiguas podrían haber permitido el acceso a datos en caché del almacén de contraseñas, por lo que a los usuarios se les pide, «por precaución», descargar la nueva compilación. El envío comenzó durante el fin de semana festivo (Columbus Day), lo que probablemente buscaba ralentizar la reacción de los equipos de seguridad por el personal reducido.

Bitwarden también se vio implicado en la misma campaña. En nombre de «hello@bitwardenbroadcast[.]blog» se enviaron mensajes idénticos en estilo y contenido con la propuesta de instalar una aplicación de escritorio «mejorada». Cloudflare ya bloqueó los accesos a las páginas fraudulentas, marcándolas como phishing.

Los especialistas analizaron los binarios adjuntos a la campaña y determinaron que son completamente idénticos. El agente RMM Syncro se ejecuta con parámetros que ocultan el icono en la bandeja del sistema para que el usuario no note el nuevo proceso. La configuración del programa es mínima: se conecta con el servidor cada 90 segundos, no incluye funciones integradas de acceso remoto ni activa otros medios RMM como Splashtop o TeamViewer. Además, desactiva agentes antivirus Emsisoft, Webroot y Bitdefender, dejando el sistema sin protección.

El objetivo principal de la instalación es descargar y ejecutar ScreenConnect, lo que abre a los atacantes la vía para el control remoto del dispositivo, la implantación de malware y el robo de credenciales, incluido el acceso a almacenes cifrados. Una ola separada de phishing afectó a usuarios de 1Password. Desde finales de septiembre se enviaron notificaciones con el asunto «Su contraseña ha sido comprometida», remitidas desde «watchtower@eightninety[.]com». El enlace dirigía al sitio «onepass-word[.]com» mediante un redireccionamiento de Mandrillapp, donde se solicitaba la clave secreta y la contraseña maestra. Los especialistas de Malwarebytes confirmaron que esta campaña no está conectada directamente con los ataques a LastPass y Bitwarden, pero emplea la misma psicología del miedo y la confianza.

Todas las empresas subrayan: nunca piden la contraseña maestra a los usuarios ni envían actualizaciones por correo. Las notificaciones de seguridad deben comprobarse solo en los sitios y blogs oficiales. El 16 de octubre, los desarrolladores de Syncro también emitieron un comunicado: según ellos, la plataforma no fue comprometida —el atacante se registró como un socio MSP falso y usó el sistema de instalación legítimo con fines maliciosos—. Las cuentas del intruso fueron bloqueadas y se detuvieron todas las instalaciones realizadas a través de ellas.

Las huellas digitales son tu debilidad, y los hackers lo saben

¡Suscríbete y descubre cómo borrarlas!