Tu pereza les ha generado 35 millones de dólares en ingresos pasivos: una antigua filtración de LastPass sigue vaciando monederos de criptomonedas.

La brecha de LastPass, que ocurrió en 2022, sigue generando dinero para los delincuentes años después. El último análisis on-chain de TRM Labs reveló nuevos detalles de la infraestructura criminal. En ese momento los atacantes obtuvieron acceso a copias de seguridad de aproximadamente 30 millones de bóvedas de usuarios — contenedores cifrados con los datos más sensibles, incluyendo claves privadas y frases semilla de criptobilleteras.

No se podía leer las bóvedas sin la contraseña maestra, pero los atacantes descargaron los archivos masivamente, y eso convirtió una sola filtración en un juego a largo plazo: cualquier contraseña maestra débil se puede intentar descifrar offline durante meses o años, abriendo silenciosamente datos ajenos y vaciando activos.

Según el informe de TRM, nuevas olas de filtración de carteras se registraron durante todo 2024 y continuaron en 2025, y el impacto del incidente resultó ser mucho más amplio que en el momento de la primera revelación. Los analistas tomaron un clúster reciente de esos robos y rastrearon el camino de los fondos robados a través de mezcladores hasta dos exchanges de alto riesgo, que con frecuencia son usados por ciberdelincuentes como puntos de salida a fiat. Según TRM, una de esas plataformas recibió fondos vinculados a LastPass incluso en octubre.

El informe subraya que no se trata de una "sospecha bonita", sino de un conjunto de indicios que conforman un cuadro consistente. En primer lugar, los fondos robados pasaron repetidamente por conocidas 'off-ramps', históricamente usadas por los atacantes. En segundo lugar, los datos de las carteras que interactuaron con los mezcladores tanto antes como después del mezclado indicaban continuidad en el control — es decir, parece que se trata del mismo grupo y no de usuarios aleatorios que luego habrían recogido monedas "sucias". No obstante, TRM señala que todavía no se puede atribuir definitivamente la intrusión inicial a ejecutores concretos.

Un papel clave en la investigación lo jugó el "desmezclado" — el análisis de la actividad CoinJoin a nivel de clústeres, que ayuda a volver a vincular entradas y salidas del mezclador cuando no actúan de forma caótica sino según un patrón repetido. TRM describe una firma reconocible: claves de bitcoin robadas se importaron en el mismo software de billeteras, lo que generó rasgos técnicos comunes en las transacciones, como SegWit y Replace-by-Fee. Las altcoins se convirtieron rápidamente a bitcoin a través de servicios de cambio instantáneo, luego los fondos iban a direcciones de un solo uso y se enviaban a Wasabi Wallet. Según la estimación de TRM, solo a finales de 2024 y principios de 2025 se robaron, convirtieron a BTC y lavaron a través de Wasabi más de 28 millones de dólares.

En lugar de considerar cada robo por separado, los analistas interpretaron lo ocurrido como una campaña coordinada: identificaron grupos de depósitos y retiradas de Wasabi en el tiempo y los compararon para que coincidieran los volúmenes totales y el calendario —según ellos, esa coincidencia es estadísticamente poco probable que sea casual. Las primeras retiradas de Wasabi ocurrieron ya a los pocos días de los primeros "drenajes", lo que sugiere que los atacantes realizaron el CoinJoin al inicio, y no los "siguientes propietarios" de las monedas.

TRM señala como un indicador adicional las salidas a través de plataformas en dos fases distintas. En el período temprano tras la explotación inicial, los fondos pasaron por el servicio ya cerrado Cryptomixer.io y se retiraron vía Cryptex — un exchange que aparece como de alto riesgo y que fue utilizado por ciberdelincuentes como salida a fiat. En la segunda ola, que TRM asocia con septiembre de 2025, los analistas rastrearon alrededor de 7 millones de dólares que pasaron por Wasabi y luego fueron enviados al exchange Audi6. En total, TRM afirma haber seguido más de 35 millones de dólares, y subraya que probablemente eso es solo una parte del panorama general.

Los especialistas concluyen: los mezcladores por sí solos no garantizan la "desaparición de rastros" si los atacantes usan durante años la misma infraestructura y los mismos puntos de salida "geográficos". Y la historia de LastPass tiene otra cola dolorosa — muchos usuarios no reforzaron sus contraseñas maestras ni reconstruyeron la seguridad de las bóvedas, por lo que los atacantes disponen de una ventana amplia para seguir probando contraseñas débiles y continuar extrayendo activos incluso tres años después del hackeo.