Hackers acceden a datos personales de usuarios de LastPass tras ataque a proveedor

Un reciente incidente de ciberseguridad ha puesto en alerta a usuarios del reconocido gestor de contraseñas LastPass. Un ataque dirigido a la cadena de suministro de su proveedor Klue permitió a piratas informáticos acceder a datos personales de clientes, utilizando como puerta de entrada el entorno Salesforce.

Aunque la infraestructura principal de LastPass y sus productos no se vieron comprometidos, los criminales lograron obtener información sensible a través de la manipulación de tokens OAuth, lo que ha puesto en el centro del debate la vulnerabilidad de los servicios intermediarios.

Ataque a la cadena de suministro expone datos de clientes de LastPass

El 12 de junio de 2026, se detectó una actividad no autorizada que tuvo como objetivo a Klue, plataforma de inteligencia de mercado utilizada por varias empresas, incluyendo LastPass. Los atacantes consiguieron robar tokens OAuth, que funcionan como llaves digitales temporales para acceder a servicios como Salesforce sin requerir contraseñas.

Este método les permitió hacerse pasar por aplicaciones legítimas y, de ese modo, extraer información confidencial de los clientes de LastPass.

La brecha no fue consecuencia de una falla directa en la seguridad del gestor de contraseñas, sino de una estrategia que explotó la integración entre Klue y otros servicios como Salesforce. Al obtener los tokens OAuth, los delincuentes accedieron a los sistemas sin levantar sospechas inmediatas.

Según el blog oficial de LastPass, una vez detectado el incidente, se procedió de inmediato a iniciar una investigación interna para determinar el alcance del acceso no autorizado y tomar medidas correctivas.

El proveedor afectado, Klue, también se pronunció mediante una publicación el 22 de junio del mismo año. Confirmaron la detección rápida del incidente y la apertura de una investigación para esclarecer los hechos. No obstante, no se detalló públicamente qué tipo de credenciales fueron robadas ni cuántos clientes resultaron afectados.

Datos expuestos y riesgos para los usuarios de LastPass

De acuerdo con la información proporcionada por LastPass, los datos que quedaron expuestos incluyen nombres, números de teléfono, direcciones de correo electrónico, direcciones físicas y datos relacionados con ventas. Es importante destacar que no se comprometieron contraseñas, la clave maestra ni los productos o la infraestructura principal de la compañía.

Estos datos, aunque no habilitan el acceso directo a las cuentas, representan un riesgo considerable para los usuarios afectados. Los ciberdelincuentes pueden emplear la información obtenida para llevar a cabo campañas de phishing.

Al disponer de datos personales como nombre, dirección, teléfono o correo electrónico, es viable que intenten suplantar la identidad de LastPass y contacten a las víctimas para obtener información adicional o inducirlas a acceder a enlaces fraudulentos.

El impacto potencial de la filtración se extiende más allá del acceso a información individual. Los datos personales robados suelen tener un alto valor en mercados ilegales como la Dark Web, donde pueden ser vendidos a otros actores maliciosos. Estos pueden utilizarlos para nuevos ataques, suplantación de identidad y para expandir su alcance hacia contactos relacionados con las víctimas iniciales.

Recomendaciones para usuarios tras la filtración

A raíz de este incidente, desde LastPass recomiendan a quienes tengan una cuenta en el servicio que extremen las precauciones frente a posibles intentos de fraude. Es fundamental desconfiar de cualquier correo electrónico o mensaje de texto recibido en los próximos días que solicite información personal o lleve a páginas web sospechosas.

La compañía ha reiterado que las únicas comunicaciones confiables son aquellas que provienen de canales oficiales de soporte. Se desaconseja prestar atención a mensajes que lleguen por medios alternativos, ya que los atacantes podrían aprovechar la confusión para robar contraseñas o datos sensibles.

Entre las acciones tomadas por la compañía para mitigar el impacto, se encuentra la desactivación del acceso de sus empleados a la plataforma Klue, la rotación de los tokens API/OAuth expuestos y la notificación a las autoridades correspondientes. La investigación interna sigue en curso para determinar la magnitud total de la filtración y evitar incidentes similares en el futuro.

No es la primera vez que LastPass enfrenta un incidente de seguridad. En diciembre de 2022, ya se había producido una filtración de datos que afectó a sus usuarios. Aunque en esta ocasión la vulnerabilidad provino de un proveedor externo, el episodio resalta la creciente amenaza que representan los ataques a la cadena de suministro, considerados uno de los vectores más peligrosos en la actualidad.