account-securityINFO

Filtración de LastPass 2026: datos de soporte expuestos por el ataque a Klue (las bóvedas siguen seguras)

En junio de 2026 LastPass confirmó que unos atacantes accedieron a datos de casos de soporte en su entorno de Salesforce a través del ataque a la cadena de suministro de Klue. Qué se filtró, qué no (tu bóveda) y exactamente qué hacer.

Por Eric Gerard · Editor · PwdFortress4 min de lecturaFoto vía Pixabay

A finales de junio de 2026, LastPass confirmó una nueva filtración de datos - pero el titular exige un matiz inmediato y honesto: no es otra filtración de bóvedas. Los atacantes alcanzaron datos de soporte y de contacto almacenados en el entorno de Salesforce de LastPass, mientras que LastPass declaró que sus productos, servicios e infraestructura no se vieron afectados y que las bóvedas de contraseñas de los clientes permanecieron seguras. Esto es lo que pasó de verdad, qué significa y qué hacer.

Qué pasó

LastPass confirmó que los atacantes accedieron a datos de casos de soporte almacenados en su entorno de Salesforce. La información expuesta incluye nombres, números de teléfono, direcciones de correo y direcciones postales de clientes, datos de casos de soporte y registros relacionados con ventas.

El punto crucial, dicho por la propia LastPass: sus productos, servicios e infraestructura no se vieron afectados, y las bóvedas de contraseñas de los clientes permanecieron seguras. Dicho de otro modo, este incidente trata de datos de soporte y de contacto del CRM, no de la bóveda cifrada donde viven tus credenciales guardadas. Esa distinción es lo que lo separa de la muy comentada filtración de copias de seguridad de bóveda de 2022, y conviene tenerla presente antes de reaccionar. Si estabas valorando el historial de la plataforma, nuestro análisis sobre si es seguro LastPass lo pone en contexto.

Cómo ocurrió - un ataque a la cadena de suministro de Klue

La causa raíz no fue una intrusión en LastPass. Fue un ataque a la cadena de suministro contra Klue, una plataforma externa de inteligencia de mercado que usan los equipos comerciales de LastPass y que se integra con Salesforce y Gong.

Hacia el 12 de junio de 2026, un actor de amenazas referido como Icarus usó credenciales heredadas comprometidas de un servicio de integración para vulnerar Klue. Desde ahí, los atacantes robaron tokens OAuth que daban acceso a los casos de soporte de Salesforce de LastPass. Una herramienta de confianza conectada se convirtió en el eslabón débil - y esa conexión llevó el acceso, en silencio, hasta el CRM de LastPass.

LastPass no fue la única víctima. El mismo incidente de Klue afectó al parecer también a Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity.

Un portátil sobre una mesa de madera mostrando una pantalla de inicio de sesión de banca online con campos de usuario y contraseña, junto a un smartphone. Los datos de contacto filtrados hacen creíble el phishing con tema de inicio de sesión, ese es el riesgo real aquí.
Un portátil sobre una mesa de madera mostrando una pantalla de inicio de sesión de banca online con campos de usuario y contraseña, junto a un smartphone. Los datos de contacto filtrados hacen creíble el phishing con tema de inicio de sesión, ese es el riesgo real aquí.

Por qué importa aunque no uses LastPass

Dos razones. Primera, los ataques a la cadena de suministro son problema de todos: un único proveedor comprometido puede exponer datos de muchas empresas a la vez, que es justo por lo que el mismo incidente tocó a varias organizaciones sin relación entre sí. Las herramientas conectadas de las que dependen tus servicios forman parte de tu superficie de ataque.

Segunda, aunque tus contraseñas no se expusieron, los datos de contacto filtrados alimentan el phishing. Unos atacantes que tienen tu nombre, tu correo, tu teléfono y el hecho de que eres cliente de LastPass pueden crear falsas "alertas de seguridad" muy convincentes. Los datos que se filtraron son precisamente lo que hace que una estafa parezca legítima.

Qué hacer

Como tu bóveda no quedó comprometida, esto no es un restablecimiento urgente de todas las contraseñas. La respuesta correcta es serena y dirigida:

  • Espera phishing y baja el ritmo. Desconfía de cualquier correo, llamada o mensaje inesperado que mencione LastPass, una "filtración" o tu cuenta. No pulses sus enlaces; ve directamente al sitio oficial. Una empresa legítima nunca te pedirá tu contraseña maestra.
  • Confirma que la verificación en dos pasos está activada. Con 2FA (idealmente una app de autenticación o una llave de hardware - no SMS), incluso una contraseña robada por phishing es mucho más difícil de abusar.
  • Usa una contraseña única en todas partes. Esta filtración no expuso contraseñas de bóveda, pero una contraseña única por sitio sigue siendo la base que limita el alcance de cualquier fuga futura.
  • Sopesa tus opciones. Si los incidentes repetidos han erosionado tu confianza, comparar proveedores es razonable. Nuestra guía de las mejores alternativas a LastPass expone las concesiones.

Para recordar

El resumen honesto: las bóvedas de LastPass no fueron vulneradas en junio de 2026 - lo fue una plataforma externa llamada Klue, exponiendo datos de soporte y de contacto a través de una integración conectada. El peligro práctico es el phishing dirigido construido a partir de los datos de contacto filtrados, no contraseñas robadas. Mantente alerta ante mensajes que mencionen la filtración, conserva la 2FA activada y contraseñas únicas en todas partes, y decide tu proveedor con los hechos en lugar de con el miedo.

Preguntas frecuentes

¿Se vio comprometida mi bóveda de contraseñas de LastPass en la filtración de 2026?

No. LastPass declaró que sus productos, servicios e infraestructura no se vieron afectados y que las bóvedas de contraseñas de los clientes permanecieron seguras. El incidente de junio de 2026 expuso datos de casos de soporte y de contacto (nombres, números de teléfono, correos y direcciones postales) almacenados en su entorno de Salesforce, no las bóvedas cifradas donde viven tus contraseñas. Esta es la distinción clave frente a la conocida filtración de bóvedas de 2022: aquella implicaba copias de seguridad de datos de bóveda, esta no.

¿Qué se expuso exactamente en la filtración de LastPass de junio de 2026?

Según LastPass, los atacantes accedieron a datos de casos de soporte y registros relacionados con ventas guardados en su CRM de Salesforce. Los campos expuestos incluyen nombres, números de teléfono, direcciones de correo y direcciones postales de los clientes. No existe una cifra pública verificada sobre cuántos clientes se vieron afectados, así que desconfía de cualquier recuento concreto que veas. Tus credenciales guardadas y tu contraseña maestra no formaban parte de este conjunto de datos.

¿Cómo entraron los atacantes si el propio LastPass no fue hackeado?

La causa raíz fue un ataque a la cadena de suministro contra Klue, una plataforma de inteligencia de mercado que usan los equipos comerciales de LastPass y que se integra con Salesforce y Gong. Hacia el 12 de junio de 2026, un actor de amenazas referido como Icarus usó credenciales heredadas comprometidas de un servicio de integración para vulnerar Klue, y luego robó tokens OAuth que daban acceso a los casos de soporte de Salesforce de LastPass. El eslabón débil fue una herramienta de confianza conectada, no los sistemas propios de LastPass.

¿Fue LastPass la única empresa afectada por el incidente de Klue?

No. El mismo incidente de la cadena de suministro de Klue afectó al parecer a varias otras organizaciones, entre ellas Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity. Los ataques a la cadena de suministro golpean a la vez a muchos clientes de un único proveedor comprometido, lo que explica en parte su gran impacto.

¿Qué debo hacer tras la filtración de LastPass de 2026?

Como tu bóveda no quedó expuesta, no necesitas restablecer todas tus contraseñas presa del pánico. El riesgo real es el phishing dirigido que usa los datos de contacto filtrados. Así que: desconfía de correos, llamadas o mensajes inesperados que mencionen LastPass o tu cuenta, nunca pulses sus enlaces y contacta con LastPass solo a través del sitio oficial. Asegúrate de que la verificación en dos pasos esté activada, confirma que cada cuenta usa una contraseña única y plantéate si te conviene más un proveedor con un historial más limpio.