Las copias de seguridad cifradas de la bóveda robadas en la filtración de datos de LastPass de 2022 permitieron a los delincuentes explotar contraseñas maestras débiles para descifrar y deshacerse de las tenencias de criptomonedas a finales de 2025, según nuevos hallazgos de TRM Labs.
La firma de inteligencia blockchain dijo que la evidencia apunta a la participación de ciberdelincuentes rusos en la actividad, y uno de los intercambios rusos recibió fondos vinculados a LastPass en octubre.
Esta evaluación se basa “en la totalidad de la evidencia en cadena, incluida la interacción repetida con la infraestructura vinculada a Rusia, la continuidad del control sobre las actividades previas y posteriores a la combinación y el uso constante de los intercambios rusos de alto riesgo como rampas de salida”, agregó.
LastPass sufrió un importante ataque en 2022 que permitió a los atacantes acceder a los datos personales de sus clientes, incluidas bóvedas de contraseñas cifradas que contienen credenciales como claves privadas de criptomonedas y frases iniciales.
A principios de este mes, el servicio de gestión de contraseñas recibió una multa de 1,6 millones de dólares por parte de la Oficina del Comisionado de Información (ICO) del Reino Unido por no implementar medidas técnicas y de seguridad suficientemente sólidas para evitar el incidente.
La violación también llevó a la compañía a emitir una alerta en ese momento, indicando que los delincuentes podrían usar técnicas de fuerza bruta para adivinar las contraseñas maestras y descifrar los datos de la bóveda robada. Los últimos hallazgos de TRM Labs muestran que los ciberdelincuentes han hecho precisamente eso.
“Cualquier bóveda protegida por una contraseña maestra débil podría eventualmente descifrarse fuera de línea, convirtiendo una única infracción en 2022 en una ventana de varios años para que los atacantes descifren silenciosamente contraseñas y roben activos con el tiempo”, dijo la compañía.
“Como los usuarios no cambiaron las contraseñas ni mejoraron la seguridad de la bóveda, los atacantes continuaron descifrando contraseñas maestras débiles durante años, lo que provocó tensiones en las billeteras hasta finales de 2025”.
Las conexiones rusas con la criptomoneda robada de la violación de LastPass de 2022 se basan en dos factores principales: el uso de intercambios comúnmente asociados con el ecosistema de cibercrimen ruso en el proceso de lavado de dinero, y conexiones operativas obtenidas de billeteras que interactúan con mezcladores antes y después del proceso de mezcla y lavado de dinero.
Se rastrearon 35 millones de dólares adicionales en activos digitales retirados, de los cuales 28 millones de dólares se convirtieron en Bitcoin y se lavaron a través de Wasabi Wallet entre finales de 2024 y principios de 2025. Otros 7 millones de dólares se asociaron con una ola posterior descubierta en septiembre de 2025.
Se descubrió que los fondos robados fueron enviados a través de Cryptomixer.io y desviados a través de Cryptex y Audia6, dos intercambios rusos que han sido vinculados a actividades ilegales. Vale la pena mencionar aquí que Cryptex fue sancionado por el Departamento del Tesoro de EE. UU. en septiembre de 2024 por recibir más de 51,2 millones de dólares en fondos ilícitos procedentes de ataques de ransomware.
TRM Labs dijo que a pesar de utilizar técnicas CoinJoin que dificultaban el seguimiento del flujo de fondos para los observadores externos, pudo separar la actividad al descubrir retiros agrupados y desencadenar que canalizaron bitcoins mixtos hacia los dos intercambios.
“Este es un claro ejemplo de cómo una única infracción puede convertirse en una campaña de robo de varios años”, afirmó Ari Redbord, director global de políticas de TRM Labs. “Incluso cuando se utilizan mezcladores, los patrones operativos, la reutilización de la infraestructura y el comportamiento de salida pueden proporcionar información sobre quién está realmente detrás de la actividad”.
“Los intercambios rusos de alto riesgo continúan sirviendo como puntos de entrada críticos para el cibercrimen global. Este caso muestra por qué la segregación y el análisis a nivel de ecosistema son ahora herramientas esenciales para la atribución y la aplicación de la ley”.
About The Author
