Hackeo de LastPass: 35 millones en criptomonedas blanqueados por hackers rusos
Una investigación de TRM Labs revela cómo hackers rusos blanquearon más de 35 millones de dólares en criptodivisas robadas a usuarios de LastPass.
Según un análisis en profundidad publicado por la empresa de inteligencia blockchain TRM Labs, un grupo coordinado de ciberdelincuentes rusos es presuntamente responsable del blanqueo de más de 35 millones de dólares en criptodivisas. Estos fondos fueron sustraídos sistemáticamente de los usuarios de LastPass, tras la notoria brecha en los sistemas ocurrida en 2022.
El informe destaca que el ataque no fue un hecho aislado, sino una campaña de años para vaciar billeteras. A pesar del tiempo transcurrido desde la brecha inicial, los investigadores confirmaron que los atacantes continuaron retirando activos de las 'bóvedas' comprometidas hasta finales de 2025.
La ruta del dinero: de los mezcladores a las plataformas rusas
El análisis técnico de TRM Labs desveló un sofisticado esquema de lavado de dinero. Los delincuentes seguían un protocolo preciso: inicialmente, los activos que no eran Bitcoin se convertían en Bitcoin a través de servicios de intercambio instantáneo. Posteriormente, los fondos se introducían en servicios de mezcla como Wasabi Wallet y CoinJoin.
Estas herramientas están diseñadas para "mezclar" las transacciones de diferentes usuarios, lo que hace teóricamente imposible rastrear el origen y el destino final de los fondos. Sin embargo, en este caso, la tecnología de privacidad mostró sus límites.
El punto de inflexión en las investigaciones: 'De-mixing"
Los analistas de TRM Labs lograron realizar una operación de 'de-mixing' descifrando los movimientos a través del llamado 'análisis de continuidad de comportamiento'. Los expertos identificaron una "firma constante en la cadena" que les permitió vincular los distintos robos a un único grupo organizado.
Al rastrear huellas dactilares concretas -como la forma en que el software del monedero importaba las claves privadas-, los investigadores "desentrañaron" el proceso de mezcla. Esto permitió rastrear el flujo de dinero hasta su depósito final en bolsas con sede en Rusia.
Infraestructuras ilícitas y sanciones internacionales
El dinero robado aterrizó en plataformas infames para las autoridades internacionales. Alrededor de 7 millones de dólares se rastrearon hasta Audi6, un servicio de intercambio que opera en el ecosistema de la ciberdelincuencia rusa. Otra parte sustancial de los fondos fluyó a través de Cryptex, un servicio de intercambio actualmente sancionado por la Oficina de Control de Activos Extranjeros (OFAC) de EE.UU. por su papel en la facilitación de transacciones ilícitas.
Un análisis de las actividades de blanqueo de capitales vinculadas a LastPass revela dos fases distintas que fluyeron hacia los servicios de intercambio rusos. En una primera fase, tras la explotación original, los fondos robados se enrutaron a través de la ya desaparecida Cryptomixer.io y se convirtieron en moneda fiduciaria a través de Cryptex, una bolsa con sede en Rusia sancionada por la OFAC en 2024, según afirma TRM en un informe.
El informe señala que los monederos que interactuaron con los mezcladores mostraron "vínculos operativos" con Rusia tanto antes como después del proceso de blanqueo. Este detalle sugiere que los hackers no se limitaban a utilizar la infraestructura local, sino que operaban directamente desde la región.
Una llamada de atención para la seguridad global
Esta historia pone de relieve el papel central de las plataformas de criptomonedas rusas en el apoyo a la ciberdelincuencia a escala global. Al proporcionar liquidez y rutas de salida (off-ramps) para los activos digitales robados, estos intercambios permiten a los grupos criminales monetizar las violaciones de datos mientras evaden la aplicación de la ley internacional.
Para los usuarios de LastPass y la comunidad de criptomonedas en su conjunto, el mensaje es claro: las vulnerabilidades del pasado pueden crear amenazas que se prolongan durante años, por lo que la vigilancia constante y las medidas de seguridad proactivas son esenciales.
Las vulnerabilidades del pasado pueden crear amenazas que se prolongan durante años, por lo que la vigilancia constante y las medidas de seguridad proactivas son esenciales.
Un error crítico en la extensión de Chrome de Trust Wallet provocó el robo de alrededor de 7 millones de dólares en criptomonedas. A continuación, explicamos qué ocurrió, quiénes corren riesgo y cómo proteger sus fondos.
Ciberdelincuentes vinculados a Corea del Norte malversaron más de 300 millones de dólares del sector de las criptomonedas utilizando falsas reuniones en vídeo, cuentas de Telegram comprometidas y malware avanzado.
Según un análisis en profundidad publicado por la empresa de inteligencia blockchain TRM Labs, un grupo coordinado de ciberdelincuentes rusos es presuntamente responsable del blanqueo de más de 35 millones de dólares en criptodivisas. Estos fondos fueron sustraídos sistemáticamente de los usuarios de LastPass, tras la notoria brecha en los sistemas ocurrida en 2022.
El informe destaca que el ataque no fue un hecho aislado, sino una campaña de años para vaciar billeteras. A pesar del tiempo transcurrido desde la brecha inicial, los investigadores confirmaron que los atacantes continuaron retirando activos de las 'bóvedas' comprometidas hasta finales de 2025.
La ruta del dinero: de los mezcladores a las plataformas rusas
El análisis técnico de TRM Labs desveló un sofisticado esquema de lavado de dinero. Los delincuentes seguían un protocolo preciso: inicialmente, los activos que no eran Bitcoin se convertían en Bitcoin a través de servicios de intercambio instantáneo. Posteriormente, los fondos se introducían en servicios de mezcla como Wasabi Wallet y CoinJoin.
Estas herramientas están diseñadas para "mezclar" las transacciones de diferentes usuarios, lo que hace teóricamente imposible rastrear el origen y el destino final de los fondos. Sin embargo, en este caso, la tecnología de privacidad mostró sus límites.
El punto de inflexión en las investigaciones: 'De-mixing"
Los analistas de TRM Labs lograron realizar una operación de 'de-mixing' descifrando los movimientos a través del llamado 'análisis de continuidad de comportamiento'. Los expertos identificaron una "firma constante en la cadena" que les permitió vincular los distintos robos a un único grupo organizado.
Al rastrear huellas dactilares concretas -como la forma en que el software del monedero importaba las claves privadas-, los investigadores "desentrañaron" el proceso de mezcla. Esto permitió rastrear el flujo de dinero hasta su depósito final en bolsas con sede en Rusia.
Infraestructuras ilícitas y sanciones internacionales
El dinero robado aterrizó en plataformas infames para las autoridades internacionales. Alrededor de 7 millones de dólares se rastrearon hasta Audi6, un servicio de intercambio que opera en el ecosistema de la ciberdelincuencia rusa. Otra parte sustancial de los fondos fluyó a través de Cryptex, un servicio de intercambio actualmente sancionado por la Oficina de Control de Activos Extranjeros (OFAC) de EE.UU. por su papel en la facilitación de transacciones ilícitas.
El informe señala que los monederos que interactuaron con los mezcladores mostraron "vínculos operativos" con Rusia tanto antes como después del proceso de blanqueo. Este detalle sugiere que los hackers no se limitaban a utilizar la infraestructura local, sino que operaban directamente desde la región.
Una llamada de atención para la seguridad global
Esta historia pone de relieve el papel central de las plataformas de criptomonedas rusas en el apoyo a la ciberdelincuencia a escala global. Al proporcionar liquidez y rutas de salida (off-ramps) para los activos digitales robados, estos intercambios permiten a los grupos criminales monetizar las violaciones de datos mientras evaden la aplicación de la ley internacional.
Para los usuarios de LastPass y la comunidad de criptomonedas en su conjunto, el mensaje es claro: las vulnerabilidades del pasado pueden crear amenazas que se prolongan durante años, por lo que la vigilancia constante y las medidas de seguridad proactivas son esenciales.
Las vulnerabilidades del pasado pueden crear amenazas que se prolongan durante años, por lo que la vigilancia constante y las medidas de seguridad proactivas son esenciales.
Seguir leyendo
Hackean Trust Wallet en Navidad: roban 7 millones de dólares
Un error crítico en la extensión de Chrome de Trust Wallet provocó el robo de alrededor de 7 millones de dólares en criptomonedas. A continuación, explicamos qué ocurrió, quiénes corren riesgo y cómo proteger sus fondos.
Solana resiste un ataque DDoS récord de 6 Tbps
Solana superó uno de los mayores ataques DDoS de la historia sin tiempo de inactividad, lo que supuso un gran avance en la resistencia de la red.
Hackers norcoreanos roban 300 millones de dólares con falsas reuniones de criptomonedas
Ciberdelincuentes vinculados a Corea del Norte malversaron más de 300 millones de dólares del sector de las criptomonedas utilizando falsas reuniones en vídeo, cuentas de Telegram comprometidas y malware avanzado.
El pirateo de WeChat implica al cofundador de Binance
La cuenta de WeChat del cofundador de Binance fue pirateada para impulsar la moneda meme Mubarakah en un esquema de pump-and-dump.