Brecha de LastPass en 2022: robos de criptomonedas continúan años después
La brecha de seguridad sufrida por LastPass en 2022 continúa teniendo consecuencias directas en el ecosistema cripto. Investigaciones recientes de TRM Labs y otros analistas forenses indican que el incidente sigue siendo explotado para robar criptomonedas, incluso varios años después de la intrusión inicial.
Los hallazgos muestran una campaña sostenida de drenaje de billeteras, basada en el acceso offline a vaults cifrados y en contraseñas maestras débiles.
Origen de la brecha
En agosto de 2022, atacantes lograron acceder al entorno de desarrollo de LastPass, obteniendo código fuente y documentación técnica interna. Meses después, en noviembre, el incidente escaló cuando los mismos actores exfiltraron copias de respaldo cifradas de los vaults de más de 25 millones de usuarios.
Según los investigadores, los atacantes —posiblemente de origen ruso— utilizaron credenciales válidas comprometidas de ingenieros DevOps para copiar estos backups. Aunque los datos estaban cifrados, el acceso permitió realizar ataques offline contra las contraseñas maestras, un escenario especialmente peligroso cuando los usuarios empleaban claves débiles o reutilizadas.
Robos de cripto prolongados
TRM Labs, junto al investigador independiente ZachXBT, vinculó la brecha de LastPass con múltiples oleadas de robos de criptomonedas:
-
Febrero de 2023: USD 6,2 millones
-
Octubre de 2023: USD 4,4 millones
-
2024–2025: al menos USD 5,4 millones adicionales
En total, se identificaron más de 40 billeteras afectadas, con fondos movidos principalmente a través de Ethereum y Bitcoin, utilizando exchanges de alta rotación para dificultar el rastreo.
Los analistas también detectaron una firma común en más de USD 35 millones robados a más de 150 víctimas, con heists mensuales desde diciembre de 2022. Entre los casos más relevantes figura un robo de aproximadamente USD 150 millones vinculado a un cofundador de Ripple.
Técnicas de explotación
El vector principal consistió en descifrar vaults protegidos por contraseñas maestras débiles, una técnica alineada con T1110 (Brute Force / Credential Access) del framework MITRE ATT&CK. Una vez dentro del vault, los atacantes accedían a:
-
Seed phrases de billeteras
-
Claves privadas
-
Notas seguras con información sensible
Con estos datos, podían drenar billeteras completas sin necesidad de volver a interactuar con la infraestructura de LastPass. Aunque la empresa ha negado vínculos directos con los robos posteriores, la correlación técnica observada por los investigadores es consistente.
Implicaciones y recomendaciones
Este caso expone los riesgos estructurales de almacenar secretos críticos de criptomonedas en gestores de contraseñas, especialmente cuando los vaults comprometidos pueden ser atacados de forma indefinida.
Los expertos recomiendan:
-
Migrar inmediatamente activos cripto asociados a vaults de LastPass
-
Rotar contraseñas maestras y credenciales reutilizadas
-
Monitorear billeteras en busca de transacciones no autorizadas
-
Evitar almacenar seed phrases y claves privadas en vaults afectados
-
Usar contraseñas maestras largas, únicas y con gestores reforzados por hardware o MFA
A pesar de las mitigaciones implementadas, la persistencia de esta campaña hasta finales de 2025 demuestra que el impacto de una brecha mal contenida puede extenderse durante años.