La muerte no es excusa para “olvidar” las contraseñas: usuarios de LastPass en la mira de una nueva estafa

Una gran campaña de phishing, dirigida a los usuarios de LastPass y a clientes de exchanges de criptomonedas, comenzó a mediados de octubre y se propagó con apariencia de notificaciones oficiales del servicio. LastPass advirtió que detrás del ataque está el grupo CryptoChameleon (UNC5356), conocido por el robo de criptomonedas mediante ingeniería social y sitios falsos de recuperación de acceso.

Los correos se envían desde la dirección falsa «alerts@lastpass[.]com» con el asunto «Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)». A los destinatarios se les informa que supuestamente un familiar abrió una solicitud de acceso a su almacenamiento de contraseñas, aportando un certificado de defunción falso. En el correo se indica un número de caso ficticio, un «agente» y una prioridad de tramitación, creando la ilusión de una comunicación oficial. Se insta a la víctima a «anular la solicitud» mediante un enlace individual que dirige al sitio falso https://lastpassrecovery[.]com, donde se pide introducir la contraseña maestra. El texto del correo también intenta convencer al destinatario de que el mensaje procede de la dirección real de LastPass y termina con frases como «la seguridad es la máxima prioridad» y «nunca comparta su contraseña».

Aparte del envío masivo, los atacantes recurren al contacto directo: llaman a las víctimas haciéndose pasar por empleados de LastPass y las convencen de seguir un enlace falso. Este componente de presión telefónica hace que la campaña sea especialmente persuasiva y aumenta su eficacia.

Según datos de Google Threat Intelligence, la infraestructura de la campaña está ligada al hosting NICENIC, que anteriormente se utilizó para encubrir operaciones de phishing de CryptoChameleon. Los mismos servidores se emplean para páginas falsas que imitan exchanges y servicios populares de criptomonedas, incluyendo Coinbase, Binance, Gemini y Gmail. En esencia, los atacantes construyen toda una red de sitios destinada a recopilar credenciales, tokens y datos de recuperación relacionados con cuentas de criptomonedas y contraseñas de usuarios.

Los investigadores prestaron especial atención a que parte de los recursos está dirigida al robo de credenciales passkey, un nuevo formato de autenticación sin contraseñas. En el conjunto se detectaron numerosos dominios, como «mypasskey[.]info», lo que indica el creciente interés de los delincuentes por las tecnologías de acceso sin contraseña y su implementación activa entre los usuarios.

LastPass informó que tomó medidas para bloquear los sitios señuelo iniciales y continúa monitoreando la infraestructura del ataque. La empresa insta a ignorar correos, mensajes y llamadas sospechosas, a no seguir enlaces y a no introducir la contraseña maestra fuera del dominio oficial. Los contactos sospechosos se pueden reportar a abuse@lastpass.com.

La campaña CryptoChameleon demuestra cómo los estafadores utilizan cada vez más la combinación de suplantación visual, presión psicológica y una interacción multinivel —desde el correo electrónico hasta las llamadas telefónicas— para eludir la atención de los usuarios y apoderarse de sus activos digitales.