Dashlane, gestor de contraseñas, confirma una brecha: hackers obtuvieron las bóvedas cifradas de los usuarios
El ataque de fuerza bruta a Dashlane resultó ser más sencillo de lo que afirmaban los comunicados de prensa.
Alternativa más informal: El ataque de fuerza bruta contra Dashlane fue más simple de lo que lo pintaron los comunicados.
Incluso un código corto de seis dígitos puede convertirse en objetivo de un ataque a gran escala si los atacantes encuentran la manera de probar esas combinaciones automáticamente.
Dashlane informó sobre un intento de comprometer una parte de las cuentas de usuario. El ataque comenzó el 31 de mayo de 2026 y se dirigió al mecanismo que permite agregar nuevos dispositivos a cuentas ya existentes. Los atacantes intentaron adivinar códigos de verificación de un solo uso para registrar sus dispositivos y obtener copias de los almacenes de contraseñas cifrados.
según la empresa, los sistemas de seguridad actuaron automáticamente y bloquearon temporalmente las cuentas con un gran número de intentos de acceso. Debido a ello, muchos usuarios perdieron temporalmente el acceso al servicio, pero más tarde Dashlane restauró las cuentas bloqueadas.
A pesar de los bloqueos, los atacantes lograron adivinar códigos válidos para menos de 20 usuarios con planes personales. Tras ello, registraron nuevos dispositivos en esas cuentas y descargaron copias de los almacenes cifrados. Dashlane notificó por separado a todos los usuarios afectados. La empresa subraya que si un cliente no recibió un correo especial sobre riesgo para el almacén, su cuenta no resultó afectada.
El contenido del almacén no puede abrirse sin la contraseña maestra. Dashlane afirma que no almacena las contraseñas maestras ni sus derivados en sus servidores, ya que el servicio se construye según el modelo de 'conocimiento cero'. Para proteger los almacenes se utilizan Argon2, AES-256-CBC y HMAC-SHA256, por lo que la empresa considera extremadamente improbable acceder a los datos sin la contraseña maestra incluso tras intentos prolongados.
Los sistemas internos de Dashlane, según la investigación, no resultaron afectados. La empresa concluyó la revisión el 4 de junio de 2026 y no encontró indicios de daños adicionales para los clientes ni para la infraestructura del servicio.
El ataque afectó a las interfaces de software responsables del registro de nuevos dispositivos. Normalmente, cuando un usuario añade un teléfono o un ordenador, Dashlane verifica al titular de la cuenta mediante un código de un solo uso enviado por correo electrónico o mediante un código de una aplicación de autenticación de dos factores. Tras la verificación, el dispositivo recibe una copia del almacén cifrado.
Tras el incidente, Dashlane bloqueó el tráfico malicioso, reforzó la protección a nivel de red y dentro del producto, y también empezó a implementar comprobaciones adicionales al registrar nuevos dispositivos. La empresa también aconseja a los usuarios que revisen la lista de dispositivos conectados y eliminen los desconocidos, y a quienes aún no hayan activado la autenticación de dos factores que lo hagan.
Dashlane no exige cambiar la contraseña maestra. La excepción se aplica cuando el usuario sospecha de phishing o considera que su contraseña maestra era débil y fácil de adivinar.