Drenaje cripto por vault de LastPass

El 22 de diciembre de 2022, el gestor de contraseñas LastPass divulgó que atacantes habían descargado backups cifrados de aproximadamente 30 millones de vaults de clientes en una brecha previa de ese año. La divulgación no acaparó titulares como incidente cripto, pero en los meses y años siguientes, las wallets cuyas seed phrases se habían guardado en LastPass comenzaron a ser drenadas, en una campaña que ha crecido a más de 35 millones de dólares en estimaciones públicas iniciales y más de 438 millones de dólares según el análisis de TRM Labs de 2025.

Qué ocurrió

La brecha corporativa de LastPass de agosto de 2022 dio a los atacantes acceso a código fuente y documentación interna. Una segunda brecha a finales de 2022 —usando credenciales e información de la primera— dejó a los atacantes descargar backups de vaults de clientes, incluidos los blobs cifrados que contenían cada contraseña guardada, notas y cualquier seed phrase o clave privada que hubieran almacenado.

Los vaults estaban cifrados con la contraseña maestra del usuario. Los atacantes procedieron a hacer fuerza bruta sobre las contraseñas maestras offline: un ataque tratable para usuarios con contraseñas débiles o de fuerza moderada, dados los recursos computacionales disponibles para grupos cibercriminales organizados.

Para los usuarios que habían guardado seed phrases o claves privadas cripto en LastPass y cuya contraseña maestra cayó a fuerza bruta, el resultado fue pérdida total de todo activo cripto asegurado por esas seeds. Incidentes notables atribuidos incluyen:

• 30 de enero de 2024: ~150 millones de dólares en XRP robados de wallets cuyas seeds estaban guardadas en LastPass.
• Múltiples ataques individuales que van desde decenas de miles a drenajes multimillonarios, repartidos en 2023-2025.
• Al menos 4,4 M$ drenados por un único atacante seguido por Unchained.

El análisis de TRM Labs de diciembre de 2025 estimó las pérdidas cripto acumuladas atribuibles a la brecha de LastPass en más de 438 millones de dólares, con indicadores on-chain sugiriendo que la operación fue conducida por grupos cibercriminales alineados con Rusia más que actores estatales.

Consecuencias

• LastPass acordó un arreglo de class-action de hasta 24,45 M$, incluido un fondo de 8,2 M$ en efectivo para pérdidas generales y un pool separado de pérdidas cripto de 16,25 M$ para usuarios cuyo cripto fue robado mediante seeds guardadas.
• Muchos usuarios afectados —particularmente aquellos con pérdidas mayores— han llevado litigios civiles separados contra LastPass.
• El incidente impulsó advertencias en toda la industria contra guardar seed phrases en gestores de contraseñas sincronizados en la nube.

Por qué importa

El episodio de LastPass es el caso canónico de por qué "backup cifrado" no es equivalente a "seguro". El cifrado es tan fuerte como la contraseña maestra del usuario. Para cualquier porcentaje significativo de usuarios, esa contraseña es susceptible de fuerza bruta, y una vez que el blob cifrado ha sido exfiltrado, el atacante tiene tiempo ilimitado para crackearlo offline.

Las lecciones estructurales:

1. Las seed phrases pertenecen a un sistema que no tiene una copia almacenada fuera del sitio, nunca. Hardware wallets, backups en papel en almacenamiento físico seguro, dispositivos dedicados de almacenamiento en frío.
2. Los gestores de contraseñas sincronizados en la nube son convenientes para contraseñas, no para seeds. El modelo de amenaza de un ataque de vault-cifrado-robado es distinto.
3. El daño de una brecha de proveedor de seguridad puede tardar años en manifestarse plenamente. La divulgación de LastPass de agosto de 2022 se convirtió en una divulgación de diciembre de 2022, que se convirtió en un robo de 150 M$ de XRP en marzo de 2024, que se convirtió en una atribución acumulada de 438 M$ en 2025. La brecha sigue drenando víctimas en el momento de escribir esto.

El coste de subestimar estos riesgos está, a estas alturas, bien cuantificado en el registro on-chain.