LastPass es uno de los gestores de contraseñas más reconocidos. Su función principal es guardar las claves de manera segura, eliminando la necesidad de recordarlas cada vez que quieras acceder a una cuenta. Sin embargo, en este artículo queremos destacar una alerta emitida por esta plataforma, ya que su nombre está siendo utilizado para llevar a cabo ataques y obtener el control de las cuentas de los usuarios.
Te explicaremos en qué consiste esta amenaza y cómo puedes actuar para proteger tus cuentas de la mejor manera. Se trata de una campaña de Phishing que puede parecer un mensaje legítimo, por lo que es crucial estar alerta y evitar cometer errores que puedan resultar en la pérdida de tus contraseñas.
Suplantación de LastPass
En una publicación en su blog oficial del 3 de marzo, LastPass ha advertido a sus usuarios sobre correos electrónicos fraudulentos que están siendo utilizados en campañas de Phishing. No es la primera vez que se presenta una situación así, ya que en enero pasado también se advirtió sobre estafas similares. En ambos casos, no se trata de un ataque dirigido contra los sistemas de LastPass, sino que se aprovechan de su reputación.
En estos correos, los atacantes se hacen pasar por un falso representante de LastPass. Falsifican el nombre que aparece y utilizan líneas de asunto diseñadas para que parezcan conversaciones internas entre los atacantes y el servicio de atención al cliente sobre la solicitud de cambiar la dirección principal de la cuenta.
Como suele ser habitual en estos casos, solicitarán una respuesta urgente y que hagas clic en enlaces que te proporcionan. A través de estos enlaces, supuestamente, obtendrán información y podrán bloquear el acceso no deseado por parte de un atacante. Sin embargo, en realidad, todo es una estafa.
Si la víctima sigue las instrucciones y entra a través de un enlace proporcionado por los atacantes, acabará en una página de inicio de sesión falsa de LastPass. Esta página no tiene ninguna relación con la empresa real y fue creada para que la víctima ingrese sus datos, que luego caerán en manos de los atacantes. Este es un ataque de Phishing típico. El dominio que están utilizando es verify-lastpass[.]com.
Varias direcciones
Además de ese dominio principal, LastPass Threat Intelligence ha informado que los atacantes están empleando otros dominios secundarios, con ligeras modificaciones, pero que todos redirigen a la misma página falsa para iniciar sesión y robar información.
Para protegerte de este problema, lo más importante es usar el sentido común y nunca interactuar con correos de este tipo. Si recibes un mensaje que indica que alguien ha intentado acceder a tu cuenta, que han solicitado cambiar la dirección principal o que necesitas actuar urgentemente, siempre desconfía.
En cualquier caso, LastPass ha informado que están colaborando con socios externos para eliminar esos sitios web falsos lo más pronto posible, evitando así que afecten a sus clientes. Además, han habilitado la dirección de correo electrónico abuse@lastpass.com, donde los usuarios pueden contactar si reciben comunicaciones sospechosas.
Algunos consejos clave son los siguientes:
- Verifica siempre el remitente: antes de hacer clic, comprueba la dirección del remitente para verificar el dominio real. Los atacantes utilizan dominios que pueden parecer de LastPass, pero son falsos.
- Activa la autenticación multifactor: En tu cuenta, dirígete a Ajustes de la cuenta > Opciones multifactor y configura una aplicación como Google Authenticator o una llave YubiKey.
- Accede siempre de forma directa: nunca inicies sesión desde un enlace en un correo, ya que podría ser una estafa. Ingresa manualmente a lastpass.com en tu navegador o a través de un buscador.
El hecho de que los atacantes utilicen el nombre de LastPass para llevar a cabo estos ataques no es casual. Generalmente, buscan aprovecharse de marcas reconocidas y ampliamente utilizadas por los usuarios. Por esto, es fundamental mantenerse alerta en Internet y evitar cometer errores.
Preguntas frecuentes
¿Qué es LastPass?
LastPass es un gestor de contraseñas que permite administrar las claves y mantenerlas seguras, sin necesidad de recordarlas todas.
¿Puedo usar un gestor de contraseñas en el móvil y PC?
Sí, puedes utilizar un gestor de contraseñas tanto en el móvil como en el ordenador. Existen versiones que funcionan directamente en el navegador.
¿Qué hago si he sido víctima de un ataque Phishing?
Es crucial que actúes lo antes posible. Si aún tienes acceso a la cuenta, cambia la contraseña de inmediato. También es importante revisar qué servicios podrían haber sido afectados.
