El gestor de contraseñas Dashlane confirma el robo de cajas fuertes cifradas de clientes

Fuentes: Password manager Dashlane confirms hackers stole encrypted customer vaults, arstechnica.com, heise.de
Imagen generada por IA con el prompt: Abstract glowing digital vault with cracked padlock, floating binary code, dark blue and purple gradient, cybersecurity editorial style, no text, no faces, no logos
Imagen generada con IA

El gestor de contraseñas Dashlane confirmó que aproximadamente una docena de cajas fuertes cifradas (vaults) de clientes fueron robadas durante un ciberataque registrado el pasado 31 de mayo de 2026. Según la propia compañía, los atacantes lograron burlar los sistemas de autenticación de dos factores (2FA) de unas veinte cuentas mediante ataques de fuerza bruta, lo que les permitió registrar nuevos dispositivos en cuentas existentes y descargar copias de las bóvedas cifradas que almacenan las contraseñas y credenciales sensibles de los usuarios.

De acuerdo con el comunicado publicado por Dashlane, los atacantes emplearon software automatizado para probar de forma masiva todas las combinaciones numéricas posibles del código de 2FA, confiando en adivinar la secuencia correcta antes de que este expirara. La compañía asegura que sus sistemas de seguridad detectaron el elevado volumen de intentos y bloquearon automáticamente las cuentas afectadas. Sin embargo, en algunos casos los atacantes fueron lo suficientemente rápidos como para culminar el proceso y obtener las cajas fuertes cifradas.

La tecnológica ha notificado a los cerca de 20 clientes cuyas bóvedas fueron sustraídas y ha asegurado que no existen evidencias de que sus propios sistemas internos hayan sido comprometidos. No obstante, la empresa no ha detallado por el momento qué medidas específicas adoptó para mitigar el riesgo de futuros incidentes, ni ha revelado si los atacantes realizaron algún tipo de demanda, por ejemplo un rescate. Tampoco se ha esclarecido si las víctimas fueron seleccionadas de forma específica por su perfil profesional o personal.

Un punto clave del incidente es que las cajas fuertes robadas permanecen cifradas y, en teoría, no pueden ser abiertas sin la contraseña maestra del usuario, una clave que Dashlane afirma nunca almacena en sus servidores en texto plano. No obstante, la propia compañía advierte de que los clientes cuya contraseña maestra sea débil o fácilmente adivinable podrían enfrentarse a un mayor riesgo de que los atacantes terminen descifrando el contenido de sus bóvedas.

El caso ha despertado dudas entre expertos en ciberseguridad y usuarios, que cuestionan cómo fue posible superar un sistema de 2FA basado en códigos de seis dígitos —con un millón de combinaciones posibles— en una ventana de aproximadamente 45 segundos. Como señala el medio Ars Technica, un ataque de fuerza bruta con esa tasa de éxito requeriría un volumen de intentos inusual, del orden de 150.000 o más solicitudes en menos de un minuto, lo que en condiciones normales habría saturado los servidores de Dashlane. Aunque la compañía no confirma explícitamente la existencia de límites de tasa (rate limiting), el lenguaje del comunicado sugiere que sus controles automáticos sí bloquearon las cuentas tras detectar el volumen anómalo de peticiones.

Este incidente reaviva el recuerdo de brechas previas en el sector de los gestores de contraseñas, consideradas poco frecuentes pero con consecuencias potencialmente devastadoras. En 2022, LastPass confirmó el robo de copias de seguridad de bóvedas de clientes tras un ciberataque. Aunque las contraseñas estaban protegidas por claves maestras que solo conocían los usuarios, los requisitos de seguridad aplicados a los primeros clientes eran mucho más débiles, lo que permitió a los atacantes descifrar mediante fuerza bruta las contraseñas de algunas bóvedas. Posteriormente, se documentaron casos de robos masivos de criptomonedas vinculados a claves privadas almacenadas en esas bóvedas de LastPass comprometidas. Un año antes, en 2021, la empresa australiana Click Studios recomendó a todos los usuarios de su gestor Passwordstate que reseteasen sus credenciales tras un ataque a su mecanismo de actualizaciones.

Por el momento, Dashlane continúa investigando lo sucedido. Los expertos recomiendan a los usuarios de gestores de contraseñas, y en particular a los de Dashlane, reforzar sus contraseñas maestras, activar todas las capas adicionales de seguridad disponibles y vigilar de cerca cualquier actividad sospechosa en sus cuentas en las próximas semanas.