← Alertas
Fuga de datos Alto En monitoreo

Dashlane confirma ataque de fuerza bruta: bóvedas cifradas de usuarios descargadas

El gestor de contraseñas Dashlane confirmó que un atacante descargó las bóvedas cifradas de menos de 20 usuarios de plan personal tras un ataque de fuerza bruta —prueba sistemática de contraseñas— contra cuentas con autenticación de dos factores. Si el atacante logra descifrar las bóvedas, obtiene acceso a todas las contraseñas guardadas en ellas.

2026-06-02 · The Hacker News

Contexto

El 31 de mayo de 2026, Dashlane detectó que un actor externo lanzó un ataque de fuerza bruta —técnica que prueba combinaciones de credenciales de forma automatizada— contra cuentas de usuarios del plan personal. El atacante logró superar la autenticación de dos factores —mecanismo de seguridad que requiere un segundo código además de la contraseña— en menos de 20 cuentas y descargó las bóvedas cifradas de esos usuarios. La empresa bloqueó automáticamente las cuentas afectadas. Las bóvedas descargadas están cifradas; el riesgo depende de si el atacante puede descifrarlas.

Por qué importa

Los gestores de contraseñas concentran el acceso a todas las cuentas de un usuario en un solo lugar. Son herramientas de seguridad poderosas, pero también objetivos de alto valor para atacantes. Si una bóveda se descifra, el daño no es una contraseña comprometida: son todas las contraseñas de todas las cuentas almacenadas. Este incidente no implica que los gestores de contraseñas sean inseguros, pero sí que requieren atención activa.

Impacto potencial

Para personas

Si eres usuario de Dashlane, especialmente en el plan personal: si tu cuenta fue una de las afectadas, Dashlane debió haberte notificado directamente. Si no recibiste notificación, tu cuenta no está entre las 20 afectadas. Sin embargo, como medida de higiene, cambiar la contraseña maestra y revisar los dispositivos vinculados es prudente.

Para organizaciones

Las empresas con empleados que usan Dashlane para contraseñas corporativas —cuentas de proveedores, sistemas internos— deben verificar si alguno usa el plan personal afectado. El riesgo no es solo personal: una bóveda comprometida puede contener credenciales de sistemas de la empresa.

Perspectiva Perímetro

El ataque superó la autenticación de dos factores. Eso no significa que el doble factor no sirva —en la mayoría de casos sí sirve— sino que los atacantes están invirtiendo en técnicas más sofisticadas para bypasearlo. El doble factor sigue siendo recomendable, pero no es garantía total.

Perspectiva GRC

Este incidente aplica directamente a la política de gestión de contraseñas corporativas. Si la empresa usa un gestor de contraseñas centralizado, verificar: ¿qué proveedor se usa?, ¿qué plan o versión?, ¿se aplica autenticación fuerte para el acceso?, ¿hay visibilidad sobre qué credenciales corporativas están almacenadas y quién tiene acceso?

Recomendaciones

Para personas

Si usas Dashlane: cambia tu contraseña maestra hoy. Activa el tipo más fuerte de doble factor disponible —preferentemente una app autenticadora como Google Authenticator o Authy, no SMS. Revisa qué dispositivos están autorizados en tu cuenta y elimina los que no reconozcas.

Para organizaciones

Solicitar a TI que verifique qué gestores de contraseñas usan los empleados, con qué cuentas, y si alguna credencial corporativa podría estar almacenada en cuentas personales. Establecer como política que las contraseñas corporativas solo se gestionen en cuentas corporativas de gestores autorizados, nunca en cuentas personales.

Pregunta diagnóstica

¿Sabe la empresa cuáles credenciales corporativas están almacenadas en gestores de contraseñas de empleados, y si esos gestores son cuentas personales o corporativas?

Leer fuente original →