El gestor de contraseñas Dashlane confirmó que piratas informáticos accedieron a aproximadamente 20 cuentas de clientes tras vulnerar mediante fuerza bruta su sistema de autenticación de doble factor durante un ciberataque ocurrido el pasado fin de semana. Los atacantes descargaron copias de las cajas fuertes cifradas que almacenan las contraseñas y credenciales de los usuarios afectados.
Dashlane explicó en su página de estado que el objetivo de los atacantes era registrar nuevos dispositivos en cuentas existentes tras adivinar los códigos temporales de doble factor. Para ello, emplearon software automatizado capaz de probar todas las combinaciones numéricas posibles antes de que expirara el código de seguridad. La empresa ha asegurado que no hay pruebas de compromiso de sus propios sistemas, aunque no ha detallado cómo se superó la protección de doble factor ni qué medidas adoptó para evitar nuevos incidentes.
La compañía ha notificado a los 20 clientes cuyas cajas fuertes fueron sustraídas. Aunque las bóvedas están cifradas y solo pueden descifrarse con la contraseña maestra del usuario —que Dashlane no almacena en texto plano—, la empresa advirtió de que quienes tengan una contraseña maestra fácil de adivinar corren mayor riesgo. Sus portavoces no respondieron a preguntas de TechCrunch, y la empresa no ha revelado si conoce la identidad de los atacantes o si hubo exigencia de rescate.
Este tipo de incidentes es infrecuente pero de gran impacto: en 2022, LastPass confirmó el robo de copias de seguridad de cajas fuertes de clientes y los atacantes terminaron descifrando contraseñas maestras débiles para robar criptomonedas. Un año antes, la australiana Click Studios (Passwordstate) sufrió un ataque similar mediante su mecanismo de actualizaciones.