Gestor de contraseñas Dashlane confirma descarga de bóvedas cifradas tras ataque coordinado a usuarios
Qué pasó
Dashlane, proveedor internacional de software de gestión de contraseñas, reveló que durante el pasado domingo se inició una campaña de ciberataque dirigida a una proporción significativa de su base de usuarios. El actor de amenaza, cuya identidad aún no ha sido establecida, abusó del mecanismo que permite a los usuarios registrar nuevos dispositivos —tales como computadores o teléfonos— en sus cuentas existentes.
La operación consistió en el envío automatizado de solicitudes masivas a las direcciones de correo electrónico registradas por los usuarios, empleando los endpoints de la interfaz de programación (API) destinados al enrolamiento de dispositivos. Según explicó la propia compañía en un comunicado publicado el jueves, los atacantes ejecutaron un ataque de fuerza bruta con el objetivo de iterar a través del universo de códigos de verificación de seis dígitos enviados por correo electrónico o, en su defecto, generados por aplicaciones de autenticación de segundo factor.
Los sistemas automatizados de seguridad de Dashlane operaron conforme a su diseño, lo que provocó el bloqueo automático de las cuentas afectadas. Sin embargo, antes de que la mitigación fuera completa, los atacantes lograron generar tokens válidos para menos de veinte cuentas correspondientes al plan personal, lo que les permitió registrar un nuevo dispositivo y descargar copias de las bóvedas cifradas de esos usuarios.
El mecanismo de ataque se sustenta en una ventana de tres horas durante la cual los códigos de un solo uso permanecen vigentes, junto con un universo de aproximadamente un millón de combinaciones posibles. Si bien el cifrado protege el contenido de las bóvedas, este solo puede ser descifrado mediante la contraseña maestra del usuario legítimo, lo que mantiene la integridad de la información descargada.
Contexto
El incidente se produce en un contexto de creciente sofisticación de los ataques dirigidos a proveedores de servicios de identidad y gestión credenciales, un sector que ha ganado relevancia estratégica ante la expansión del trabajo remoto y la adopción masiva de aplicaciones en la nube. Los gestores de contraseñas concentran información altamente sensible, lo que los convierte en objetivos prioritarios para actores maliciosos que buscan comprometer identidades digitales a escala.
La técnica de fuerza bruta sobre códigos de un solo uso representa un vector de ataque conocido pero de difícil ejecución cuando se implementan controles de limitación de velocidad, también conocidos como rate limiting. En este caso, la efectividad del ataque se explica por la distribución masiva de solicitudes a un volumen elevado de cuentas, incrementando la probabilidad estadística de obtener al menos algunas coincidencias válidas dentro de la ventana temporal de tres horas.
Expertos en ciberseguridad consultados por publicaciones especializadas han señalado que este tipo de campañas suelen formar parte de operaciones más amplias de reconocimiento, donde los atacantes recolectan bóvedas cifradas para intentar descifrarlas posteriormente mediante técnicas de cracking offline, especialmente si los usuarios utilizan contraseñas maestras débiles. El episodio pone de relieve la tensión permanente entre la experiencia de usuario, que demanda procesos de verificación ágiles, y la necesidad de implementar controles de seguridad robustos.
Impacto para empresas chilenas
Para el ecosistema empresarial chileno, este incidente constituye una alerta relevante respecto a la dependencia de proveedores internacionales de servicios críticos de ciberseguridad. Numerosas empresas, incluyendo pymes que han acelerado su transformación digital, utilizan gestores de contraseñas como parte de sus políticas de protección de credenciales corporativas. Si bien Dashlane no especificó si cuentas corporativas o de planes de negocios se vieron comprometidas, la metodología del ataque ilustra vulnerabilidades que pueden replicarse en otros servicios con arquitecturas similares.
Las compañías chilenas que operan en sectores regulados —tales como servicios financieros, salud o retail— deben evaluar los procedimientos de respuesta de sus proveedores frente a incidentes de seguridad, incluyendo los tiempos de notificación, la transparencia en la comunicación y los mecanismos de mitigación. La normativa local, en línea con la Ley 19.628 sobre protección de datos personales y los marcos sectoriales emitidos por la Comisión para el Mercado Financiero, exige a las organizaciones implementar medidas técnicas y organizativas proporcionales al riesgo.
Adicionalmente, el caso refuerza la recomendación de adoptar autenticación de múltiples factores robusta, utilizar contraseñas maestras de alta entropía y mantener procedimientos de monitoreo de accesos anómalos. Para las pymes que carecen de equipos internos de ciberseguridad, el episodio subraya la conveniencia de apoyarse en socios tecnológicos con capacidad de respuesta comprobada y de revisar periódicamente las configuraciones de seguridad de las herramientas desplegadas.
Qué sigue
Dashlane ha indicado que continuará investigando el incidente y entregando notificaciones a los usuarios afectados. Se espera que la compañía refuerce los mecanismos de rate limiting y explore la implementación de validaciones adicionales en el proceso de enrolamiento de dispositivos, tales como períodos de espera o verificaciones biométricas.
El episodio probablemente motive a otros proveedores del sector a revisar sus propias arquitecturas de seguridad, en un momento en que la industria de gestión de credenciales enfrenta una presión creciente para demostrar resiliencia frente a campañas de ataque cada vez más sofisticadas y coordinadas a nivel global.
¿Necesitas software que se adapte exactamente a tu negocio?
Web apps, dashboards, APIs y plataformas a medida. Código propio, sin licencias ni plataformas genéricas.
Cotiza tu proyectoRespuesta en menos de 24h · Cotizacion sin compromiso
Artículos Relacionados
Railway capta US$100 millones para competir con AWS en infraestructura cloud nativa para inteligencia artificial
La plataforma cloud con sede en San Francisco anunció una ronda Serie B liderada por TQ Ventures, con la que busca posicionarse como alternativa a los proveedores tradicionales como Amazon Web Services y Google Cloud. La compañía, que ya cuenta con dos millones de desarrolladores y procesa más de diez millones de despliegues mensuales, apunta a reducir los tiempos de implementación que resultan críticos en la era de los asistentes de programación basados en inteligencia artificial. La valoración la sitúa entre las startups de infraestructura más relevantes surgidas durante el actual ciclo de inversión en IA.
Apple reporta US$ 1,4 billones en transacciones de la App Store, donde el 90% no paga comisiones a la compañía
La tecnológica estadounidense presentó su informe anual sobre el ecosistema de su tienda de aplicaciones, indicando que las facturaciones y ventas de desarrolladores alcanzaron los US$ 1,4 billones durante 2025. Según la compañía, el 90% de esas transacciones no generaron comisiones para Apple. El reporte se publica días antes de la Conferencia Mundial de Desarrolladores (WWDC), donde se esperan anuncios relevantes en materia de inteligencia artificial.
Nuevo modelo de cobro de GitHub Copilot genera rechazo entre desarrolladores por alza en costos
Microsoft anunció el cambio desde una tarifa plana a un modelo de facturación basado en el consumo de tokens para GitHub Copilot, lo que provocaría un aumento significativo en los costos para usuarios individuales y pequeñas empresas. Desarrolladores en foros como Reddit y X reportaron incrementos que van desde US$29 hasta cerca de US$750 mensuales. La medida entrará en vigencia el 1 de junio de 2026 y reaviva el debate sobre la sostenibilidad del modelo de negocios de las herramientas de inteligencia artificial.