Hay muchas cosas que no cuadran con el aviso de seguridad del administrador de contraseñas Dashlane publicado el lunes, advirtiendo que los atacantes lograron tener en sus manos 20 bóvedas de usuarios cifradas.
“A partir del domingo 31 de mayo de 2026, un tercero lanzó un ataque de fuerza bruta contra ciertas cuentas de usuarios de Dashlane”, dijo la compañía. dicho. “El objetivo de este ataque es forzar la protección de autenticación de dos factores (2FA) para permitir a los atacantes registrar nuevos dispositivos en cuentas de usuarios existentes”.
Hola, Dashlane, ¿hay alguien en casa?
El usuario de Dashlane que recibió la solicitud 2FA proporcionó una captura de pantalla de esta notificación, que llegó el domingo.
Un usuario del Reino Unido estaba preocupado y se comunicó con Dashlane a través de un bot de soporte. Al final, el usuario no recibe información sobre el motivo del envío de la notificación.
“Entonces me enteré de esta noticia a través de Mastodon infosec y no del propio Dashlane”, me dijo el usuario. “¡Actualmente estoy tratando de descubrir qué está pasando! Porque, ¿cómo puedes activar una solicitud 2fa si no has obtenido la contraseña primero? Como cliente que paga, creo que debería haberme enterado de esto a través de Dashlane y no de los chicos de seguridad de información de Mastodon”.
Varias discusiones en las redes sociales están llenas de comentarios similares de usuarios que tampoco comprenden el mecanismo básico de este ataque. Normalmente, la protección 2FA toma la forma de una contraseña de un solo uso generada por una aplicación de autenticación o enviada por mensaje de texto o correo electrónico. Por lo general, tienen seis dígitos y cambian aproximadamente cada 45 segundos, aunque, como muestra el aviso anterior, los códigos siguen siendo válidos durante tres horas.
La fuerza bruta es un método de prueba y error para pasar rápidamente por todas las combinaciones posibles hasta obtener la correcta. Según estos supuestos, habrá 1 millón de códigos de acceso posibles. Las infracciones exitosas requieren que se ingrese un porcentaje estadísticamente significativo de infracciones dentro de un período de tres horas.
Si bien los recursos necesarios para bombardear un servidor Dashlane con tantas conjeturas en tan poco tiempo son posibles, no se encuentran comúnmente en un ataque típico de fuerza bruta. Dashlane no establece explícitamente que establezca límites en la cantidad de publicaciones que los usuarios pueden realizar, aunque parece basarse en una frase del aviso que dice: “Debido al gran volumen de intentos contra las cuentas de los usuarios, los controles de seguridad de Dashlane bloquean automáticamente las cuentas que son el objetivo de un ataque”. Incluso suponiendo que no haya límites de velocidad, es difícil imaginar que los servidores de Dashlane no se ahoguen por un tiempo al recibir 150.000 o más publicaciones en aproximadamente una hora.
