Último pase es alertando usuarios a una nueva campaña activa de phishing que se hace pasar por el servicio de administración de contraseñas, cuyo objetivo es engañar a los usuarios para que revelen sus contraseñas maestras.
La campaña, que comenzó alrededor del 19 de enero de 2026, implica el envío de correos electrónicos de phishing reclamando un próximo mantenimiento e instándolos a crear una copia de seguridad local de sus bóvedas de contraseñas en las próximas 24 horas. Los mensajes, dijo LastPass, vienen con las siguientes líneas de asunto:
- Actualización de infraestructura de LastPass: proteja su bóveda ahora
- Sus datos, su protección: cree una copia de seguridad antes del mantenimiento
- No se lo pierda: haga una copia de seguridad de su bóveda antes del mantenimiento
- Importante: mantenimiento de LastPass y seguridad de su bóveda
- Proteja sus contraseñas: haga una copia de seguridad de su bóveda (período de 24 horas)
Los correos electrónicos están diseñados para dirigir a los usuarios desprevenidos a un sitio de phishing («group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf») que luego redirige al dominio «correo-último paso[.]com«.
La compañía enfatizó que nunca pedirá a los usuarios sus contraseñas maestras y que está trabajando con socios externos para eliminar la infraestructura maliciosa. También ha compartido las direcciones de correo electrónico desde las que se originan los mensajes:
- soporte@sr22vegas[.]com
- soporte@lastpass[.]servidor8
- soporte@lastpass[.]servidor7
- soporte@lastpass[.]servidor3
«Esta campaña está diseñada para crear una falsa sensación de urgencia, que es una de las tácticas más comunes y efectivas que vemos en los ataques de phishing», dijo a The Hacker News un portavoz del equipo de Inteligencia, Mitigación y Escalamiento de Amenazas (TIME) de LastPass en un comunicado.
«Queremos que los clientes y la comunidad de seguridad en general sean conscientes de que LastPass nunca les solicitará su contraseña maestra ni exigirá una acción inmediata en un plazo ajustado. Agradecemos a nuestros clientes por permanecer atentos y continuar informando actividades sospechosas».
LastPass le dijo a The Hacker News que no sabe cuántos clientes fueron atacados y que no hay indicios, en este momento, de que alguna cuenta haya sido comprometida. También dijo que el uso de infraestructura ampliamente disponible ha complicado los esfuerzos de atribución, pero señaló que «las tácticas generales y la amplia orientación al cliente se alinean más estrechamente con los grupos cibercriminales».
El desarrollo llega meses después de LastPass. advertido usuarios de una campaña de robo de información dirigida a usuarios de Apple macOS a través de repositorios falsos de GitHub que distribuyen programas con malware que se hacen pasar por el administrador de contraseñas y otro software popular.
Actualizar
LastPass dijo que observó una nueva ronda de correos electrónicos a partir del 22 de enero de 2026, utilizando tácticas similares, pero cambiando las URL después de que se eliminó la infraestructura inicial. Los nuevos indicadores de compromiso (IoC) se enumeran a continuación:
Sitios de phishing:
- sistemas-recursos.s3.eu-west-3.amazonaws[.]com/sSvLaIvIEm5iMal
- último paso de seguridad[.]com
Líneas de asunto:
- Mantenimiento del servidor LastPass: se recomienda realizar una copia de seguridad
- Mantenimiento de LastPass programado: esto es lo que debe hacer
- Crítico: haga una copia de seguridad de su bóveda de LastPass antes del mantenimiento
- Actualización de infraestructura de LastPass: proteja su bóveda ahora
- Mantenimiento de LastPass: proteja sus datos hoy
- Importante: mantenimiento de LastPass y seguridad de su bóveda
Fuente