LastPass, un servicio utilizado para almacenar credenciales de acceso y otra información sensible en bóvedas digitales cifradas, ha vuelto a estar vinculado a robos masivos de criptomonedas derivados de su incidente de seguridad en 2022. Un nuevo análisis blockchain indica que la infraestructura cibercriminal rusa desempeñó un papel central en el blanqueo de fondos robados a los usuarios afectados.
Los hallazgos se refieren a las pérdidas de criptomonedas sufridas por usuarios cuyos bóvedas de contraseñas cifradas fueron accedidas durante la brecha. Según investigadores de ciberseguridad, las carteras que contenían criptomonedas robadas interactuaban repetidamente con servicios y intercambios asociados a redes de ciberdelincuencia de habla rusa. Esta actividad se observó durante un periodo prolongado, lo que indica que el robo y el blanqueo de fondos continuaron mucho después de que el incidente original se hiciera público.
La brecha de 2022 permitió a los atacantes obtener copias de seguridad cifradas de las bóvedas de usuarios. Aunque las bóvedas estaban cifradas, investigadores han dicho que los atacantes lograron extraer información sensible de algunas cuentas descifrando contraseñas maestras débiles. En los casos en que los usuarios almacenaban frases semilla o claves privadas de criptomonedas dentro de sus bóvedas, los atacantes pudieron acceder y vaciar posteriormente las carteras asociadas.
Los investigadores indicaron que se rastrearon más de 35 millones de dólares en criptomonedas vinculadas al incidente a través de rutas de blanqueo entre finales de 2024 y 2025. Los fondos se convertían principalmente a bitcoin y se transmitían a través de servicios de mezcla de criptomonedas diseñados para ocultar el historial de transacciones. A pesar de estas medidas, los analistas pudieron identificar patrones consistentes con actividades de lavado coordinadas.
Los flujos de blanqueo estaban vinculados a infraestructuras históricamente utilizadas por grupos cibernéticos rusos. Esto incluyó el uso de servicios y intercambios de mezcla que han aparecido en investigaciones anteriores relacionadas con ciberdelitos motivados por motivos económicos. Los investigadores afirmaron que la repetida reutilización de los mismos servicios y agrupaciones de carteras sugería continuidad del control más que actividades delictivas no relacionadas.
La atribución de la infracción original en sí sigue sin resolverse. Los investigadores subrayaron que, aunque la evidencia on-chain sugiere la implicación de redes criminales con base en Rusia en las etapas de blanqueo y retiro de efectivo, no identifica de forma concluyente quién llevó a cabo la intrusión inicial en los sistemas de LastPass.
Los hallazgos ponen de manifiesto el impacto a largo plazo de las brechas que involucran datos de credenciales cifrados. Incluso cuando la información robada no puede ser explotada de inmediato, los atacantes pueden seguir extrayendo valor meses o años después, especialmente cuando material sensible como claves de criptomonedas se almacena en bóvedas de contraseñas.
Los especialistas en ciberseguridad han advertido repetidamente contra almacenar claves privadas o frases de recuperación para monederos digitales en gestores de contraseñas online. Una vez expuesta, dicha información no puede ser revocada, lo que hace que cualquier compromiso sea potencialmente irreversible.
El movimiento continuado de criptomonedas robadas años después de la brecha de LastPass subraya cómo los incidentes de exposición a datos pueden tener consecuencias financieras duraderas para los usuarios afectados, incluso cuando el ataque original parece estar contenido.