La empresa de inteligencia blockchain TRM Labs ha rastreado más de 35 millones de dólares en criptomonedas robadas hasta la brecha de seguridad de LastPass en 2022, revelando una sofisticada operación de lavado de dinero llevada a cabo por cibercriminales rusos que permanece activa hasta 2025.
En 2022, los hackers lograron vulnerar la seguridad de LastPass y robar bóvedas de contraseñas encriptadas que contenían las credenciales de aproximadamente 30 millones de usuarios en todo el mundo.
Aunque las bóvedas estaban encriptadas, los atacantes las descargaron en masa y comenzaron a descifrar contraseñas maestras débiles sin conexión.
Esto permitió a los cibercriminales acceder a las claves privadas y frases semilla almacenadas en su interior, lo que provocó continuos drenajes de billeteras a lo largo de 2024 y 2025, más de tres años después de la brecha inicial.
TRM Labs estima que se robaron más de 28 millones de dólares, que fueron convertidos a Bitcoin y lavados a través de Wasabi Wallet, un servicio de mezcla centrado en la privacidad.
Las transacciones más recientes vinculadas a LastPass ocurrieron a finales de octubre de 2025, con un adicional de 7 millones de dólares rastreados en septiembre.
Demixing Expone Infraestructura Rusa
Utilizando técnicas avanzadas de “demixing”, los analistas de TRM Labs superaron las protecciones de privacidad de los mezcladores CoinJoin como Wasabi Wallet, identificando patrones de comportamiento y huellas de transacciones.
El análisis reveló que los fondos robados fluían constantemente hacia los exchanges rusos Cryptex y Audi6, ambos asociados con el lavado de dinero de cibercriminales.
La inteligencia vinculada a las billeteras, tanto antes como después de la mezcla, apuntó a un control operativo basado en Rusia, lo que indica continuidad a través de múltiples fases de lavado en lugar de actividades aisladas.
Cryptex fue sancionado por OFAC en 2024 por facilitar los pagos de ransomware. Este caso demuestra que los mezcladores de criptomonedas no eliminan el riesgo de atribución cuando los actores de amenazas dependen de una infraestructura consistente.
La metodología de “demixing” de TRM reveló patrones de retiro agrupados y cadenas de “peeling” que canalizaron el Bitcoin mezclado hacia exchanges rusos conocidos, mostrando la arquitectura operativa de la tubería de lavado.
Para los 25 millones de usuarios afectados de LastPass que no cambiaron sus contraseñas o protegieron sus bóvedas, la amenaza sigue activa, un claro recordatorio de que las brechas de credenciales pueden crear ventanas de explotación de varios años.
Síguenos en Google News, LinkedIn y X para recibir actualizaciones diarias de ciberseguridad. Contáctanos para destacar tus historias.
