Alerta de ingeniería social: cómo los ataques de spoofing de dominios apuntan a gestores de contraseñas sin comprometer sus sistemas



Los atacantes están llevando a cabo campañas de phishing dirigidas a usuarios de gestores de contraseñas como LastPass y Bitwarden, intentando que divulguen credenciales de acceso. Aunque parezca que las plataformas han sido vulneradas, la realidad es diferente: se trata de un fraude de spoofing de dominios que engaña a las víctimas para que firmen documentos falsos mediante DocuSign y hagan clic en enlaces que parecen legítimos. Este fenómeno pone de manifiesto la necesidad de verificar minuciosamente remitentes y dominios antes de interactuar con correos electrónicos sospechosos.

Resumen de la campaña
– Los atacantes envían correos que aparentan provenir de boletines informativos de LastPass o Bitwarden, por ejemplo desde direcciones como hello@lastpassnewsletter.com o hello@bitwardennewsletter.com. Estas direcciones no pertenecen a las compañías y no están afiliadas a ellas.
– En los mensajes se indica que las políticas de seguridad se han actualizado y se sugiere navegar a una landing page para firmar un documento a través de DocuSign. El botón de acción, etiquetado como “Review & Access Terms”, redirige a un dominio que no pertenece a la plataforma oficial (por ejemplo lastpasscompliance[dot]com o bitwardencompliance[dot]com).
– Dominios como lastpasscompliance[dot]com o bitwardencompliance[dot]com han sido señalados por herramientas de seguridad como Microsoft Defender para Office 365 y Cloudflare, y a la fecha se informó que ya se encuentran fuera de línea.
– En una variante similar, Bitwarden también ha sido objetivo de campañas parecidas, con envíos desde hello@bitwardennewsletter.com y redirecciones a dominios no autorizados.
– En ningún caso las plataformas LastPass ni Bitwarden han sido vulneradas; se trata de un ataque de spoofing de dominios con el objetivo de obtener credenciales y otros secretos mediante ingeniería social.

Cómo protegerse
– Verificar siempre el remitente y el dominio: un correo que parece legítimo puede estar mal dirigido o provenir de un dominio muy parecido (por ejemplo, una pequeña variación ortográfica o un dominio de tercer nivel no relacionado).
– No hacer clic en enlaces de correos que soliciten firmas o autenticaciones sensibles sin verificar previamente. Si hay duda, acceda directamente a la plataforma a través de la URL oficial escrita manualmente o a través de marcadores previamente verificados.
– Confirmar por otros medios (p. ej., canales oficiales de la empresa) si hay cambios de políticas o requisitos de seguridad.
– En caso de sospecha, reportar el correo a la empresa y a su servicio de seguridad, y ante la duda, eliminar el correo.

Conclusión
Los gestores de contraseñas como LastPass y Bitwarden no han sido comprometidos; el riesgo real proviene de la suplantación de dominios y la manipulación de mensajes para inducir a la acción de usuarios desprevenidos. Este tipo de fraude refuerza la importancia de una conciencia continua de seguridad, la verificación de remitentes y dominios, y la práctica de buscar señales consistentes de autenticidad antes de interactuar con documentos o enlaces sensibles.

from Latest from TechRadar https://ift.tt/CFt5eTS
via IFTTT IA