En los últimos días, ha surgido una campaña de phishing particularmente sofisticada que utiliza el nombre de LastPass, un popular gestor de contraseñas, para engañar a los usuarios y robar sus credenciales de acceso. Esta táctica no es única en el ciberespacio; empresas como Microsoft y Google también han sido imitadas en campañas similares, pero Lastpass guarda contraseñas, por lo que en este caso el peligro es enorme.
Los ciberdelincuentes han puesto en marcha un sitio de phishing llamado «help-lastpass[.]com» y más recientemente, «tickets-lastpass[.]com». Estos sitios están diseñados para imitar las páginas legítimas de LastPass, con el fin de obtener las credenciales de los usuarios desprevenidos. A través de llamadas telefónicas y mensajes de texto, los estafadores contactan a sus víctimas, alegando que sus cuentas han sido accesadas desde nuevos dispositivos. En estas comunicaciones, los atacantes solicitan a las víctimas que sigan instrucciones específicas que conducen al sitio fraudulento.
Un detalle crucial en estas comunicaciones es la falta de autenticidad en las direcciones de correo electrónico utilizadas para enviar mensajes de reseteo o verificación, tales como «support@lastpass» sin el «.com». Estas pequeñas señales pueden ayudar a los usuarios a identificar intentos de phishing.
Una vez en el sitio de phishing, se le solicita al usuario que introduzca su contraseña maestra. Con esta información, los delincuentes intentan acceder a la cuenta real, modificar la información de contacto y la contraseña, efectivamente bloqueando al usuario legítimo.
LastPass ha colaborado con empresas como Lookout para desmantelar estos sitios fraudulentos y continúa monitoreando nuevas amenazas. A los usuarios se les recomienda colgar inmediatamente si reciben llamadas sospechosas y reportar cualquier actividad inusual a abuse@lastpass.com. También es crucial verificar siempre la autenticidad de cualquier comunicación que solicite información personal o credenciales.
Para protegerse contra el phishing, los usuarios deben ser cautelosos con los correos electrónicos, llamadas y mensajes no solicitados, especialmente aquellos que piden acciones urgentes o información sensible.
Como he dicho muchas veces, la educación continua sobre las tácticas de phishing y la implementación de medidas de seguridad como la autenticación de dos factores son esenciales para defenderse de estas amenazas.