Se han rastreado más de 35 millones de dólares en activos digitales robados
Las copias de seguridad de bóveda cifradas robadas de la filtración de datos de LastPass de 2022 han permitido a los malos actores aprovechar las contraseñas maestras débiles para descifrarlas y vaciar los activos de criptomonedas tan recientemente como a fines de 2025, según nuevos hallazgos de TRM Labs.
La empresa de inteligencia blockchain dijo que la evidencia apunta a la participación de actores cibercriminales rusos en la actividad, y que uno de los intercambios rusos recibió fondos vinculados a LastPass tan recientemente como en octubre.
Esta evaluación se basa "en la totalidad de la evidencia en cadena, incluida la interacción repetida con la infraestructura asociada a Rusia, la continuidad del control en la actividad previa y posterior a la mezcla y el uso constante de intercambios rusos de alto riesgo como rampas de salida", agregó.
LastPass sufrió un importante ataque informático en 2022 que permitió a los atacantes acceder a información personal de sus clientes, incluidas sus bóvedas de contraseñas cifradas que contenían credenciales, como claves privadas de criptomonedas y frases semilla.
A principios de este mes, el servicio de gestión de contraseñas recibió una multa de 1,6 millones de dólares por parte de la Oficina del Comisionado de Información del Reino Unido (ICO) por no implementar medidas técnicas y de seguridad suficientemente sólidas para prevenir el incidente.
La brecha también motivó a la compañía a emitir una advertencia en ese momento, indicando que los ciberdelincuentes podrían usar técnicas de fuerza bruta para adivinar las contraseñas maestras y descifrar los datos robados de la bóveda. Los últimos hallazgos de TRM Labs demuestran que los ciberdelincuentes han hecho precisamente eso.
"Cualquier bóveda protegida por una contraseña maestra débil podría eventualmente ser descifrada sin conexión, convirtiendo una sola intrusión de 2022 en una ventana de varios años para que los atacantes descifren contraseñas silenciosamente y vacíen activos con el tiempo", dijo la compañía.
Como los usuarios no rotaban sus contraseñas ni mejoraban la seguridad de sus bóvedas, los atacantes seguían descifrando contraseñas maestras débiles años después, lo que provocó pérdidas de dinero incluso a finales de 2025.
Los vínculos rusos con la criptomoneda robada de la violación de LastPass de 2022 se derivan de dos factores principales: el uso de intercambios comúnmente asociados con el ecosistema cibercriminal ruso en el proceso de lavado y las conexiones operativas obtenidas de las billeteras que interactúan con los mezcladores tanto antes como después del proceso de mezcla y lavado.
Se han rastreado más de 35 millones de dólares en activos digitales robados, de los cuales 28 millones se convirtieron a Bitcoin y se blanquearon a través de Wasabi Wallet entre finales de 2024 y principios de 2025. Otros 7 millones se han vinculado a una ola posterior detectada en septiembre de 2025.
Se ha descubierto que los fondos robados se enrutaron a través de Cryptomixer.io y se desviaron a través de Cryptex y Audia6, dos plataformas de intercambio rusas asociadas con actividades ilícitas. Cabe mencionar que Cryptex fue sancionada por el Departamento del Tesoro de EE. UU. en septiembre de 2024 por recibir más de 51,2 millones de dólares en fondos ilícitos derivados de ataques de ransomware.
TRM Labs dijo que pudo desmezclar la actividad a pesar del uso de técnicas de CoinJoin para dificultar el rastreo del flujo de fondos a observadores externos, descubriendo retiros agrupados y desprendiendo cadenas que canalizaban Bitcoin mezclado en los dos intercambios.
"Este es un claro ejemplo de cómo una sola filtración puede convertirse en una campaña de robo que se prolongue durante varios años", afirmó Ari Redbord, director global de políticas de TRM Labs. "Incluso cuando se utilizan mezcladores, los patrones operativos, la reutilización de la infraestructura y el comportamiento fuera de la rampa pueden revelar quién está realmente detrás de la actividad".
Las bolsas rusas de alto riesgo siguen siendo vías de escape cruciales para la ciberdelincuencia global. Este caso demuestra por qué la desmezcla y el análisis a nivel de ecosistema son ahora herramientas esenciales para la atribución y la aplicación de la ley.
