Actualización agregada el jueves 4 de junio de 2026, que indica la finalización de la investigación del incidente con la confirmación de que no hubo impacto adicional en los clientes o sistemas de Dashlane. También se agregaron detalles sobre el ataque y las protecciones implementadas. Ir a la actualización
Descripción general
A partir del domingo 31 de mayo de 2026, un tercero externo lanzó un ataque de fuerza bruta contra ciertas cuentas de usuarios de Dashlane. El objetivo del ataque era aplicar fuerza bruta a las protecciones de autenticación de dos factores (2FA) para permitir que el atacante registrara nuevos dispositivos en cuentas de usuarios existentes.
Debido al gran volumen de intentos en las cuentas de usuarios, los controles de seguridad de Dashlane bloquearon automáticamente las cuentas que fueron atacadas.
Los equipos de Dashlane fueron alertados de inmediato y comenzaron a investigar y remediar el incidente.
Como resultado del ataque, numerosos usuarios tuvieron sus cuentas suspendidas temporalmente. El acceso ha sido restablecido ahora para estas cuentas.
Además, los atacantes pudieron descargar una copia de las cajas fuertes encriptadas de menos de 20 usuarios del plan personal. Hemos notificado directamente a cada uno de estos usuarios. Si usted es usuario de Dashlane y no ha recibido un mensaje de Dashlane específico sobre el riesgo para su caja fuerte, no hay ningún impacto en su cuenta de Dashlane.
No se puede acceder a los datos de la caja fuerte de Dashlane sin la contraseña maestra, y la encriptación de nuestra caja fuerte garantiza que cualquier intento de acceder a la caja fuerte tiene estadísticamente pocas probabilidades de éxito, incluso a lo largo de un período prolongado de tiempo.
No hay evidencia de que el sistema interno de Dashlane haya sido afectado.
Acciones tomadas para proteger a los clientes
El tráfico proveniente de actores de amenazas ha sido bloqueado. Las cuentas de usuarios que fueron suspendidas o bloqueadas han sido reactivadas, incluidos algunos clientes a quienes se les impedía agregar nuevos dispositivos o iniciar sesión en su cuenta con 2FA. Nuestro equipo ha tomado medidas para mitigar el riesgo de incidentes futuros y continúa fortaleciendo nuestra resiliencia.
Resumen
Mientras nuestra investigación continúa, nuestros esfuerzos están enfocados en contener el incidente y proteger a nuestros clientes.
La seguridad y la privacidad son fundamentales para Dashlane. Actualizaremos esta página de avisos según corresponda.
Por precisión, se realizó una aclaración en la descripción del ataque después de la publicación inicial.
Actualización al jueves 4 de junio de 2026
Investigación completada
Dashlane ha completado su investigación. No se ha identificado ningún impacto adicional en los usuarios de Dashlane, y no hay evidencia de que los sistemas internos de Dashlane hayan sido afectados. Con la investigación completa, queremos proporcionar más detalles sobre el incidente, así como sobre lo que estamos haciendo para mitigar riesgos futuros.
Comprensión del registro de dispositivos
El actor de amenazas atacó un flujo de registro de dispositivos en su ataque. Este flujo se utiliza para agregar un dispositivo, como un teléfono móvil o una computadora, a la cuenta de Dashlane de un usuario.
Cuando un usuario habilita un dispositivo adicional, Dashlane verifica la identidad del titular de la cuenta. Esta verificación se completa enviando un token de un solo uso de 6 dígitos a la dirección de correo electrónico registrada del usuario, o bien, para los usuarios que han habilitado 2FA, validando un código de 6 dígitos generado por su aplicación de autenticación. El usuario ingresa este código en la aplicación de Dashlane, momento en el cual Dashlane registra el dispositivo y descarga una copia de la caja fuerte encriptada en el dispositivo. Más detalles sobre los flujos están documentados en la Documentación de seguridad de Dashlane.
Para que el usuario pueda acceder a los artículos en la caja fuerte encriptada, debe ingresar la contraseña maestra para descifrarla. La contraseña maestra sirve como clave de descifrado de la caja fuerte del usuario.
Sin la contraseña maestra, un usuario no puede acceder a los artículos dentro de la caja fuerte. La encriptación de la caja fuerte (Argon2 + AES-256-CBC + HMAC-SHA256) utilizada por Dashlane garantiza que cualquier intento de obtener acceso a la caja fuerte tiene estadísticamente pocas probabilidades de éxito, incluso durante un largo período de tiempo. Dashlane nunca guarda las contraseñas maestras ni sus derivadas en nuestros servidores, en consonancia con nuestra arquitectura de conocimiento cero.
Resumen del ataque
El actor de amenazas tuvo como objetivo los puntos de conexión de la API para el registro de dispositivos y utilizó un ataque de fuerza bruta para enviar un gran volumen de solicitudes automatizadas a esos puntos de conexión.
En respuesta, los sistemas de seguridad automatizados de Dashlane funcionaron según lo previsto, activando un bloqueo automático de las cuentas atacadas para proteger a esos usuarios. Antes de que el ataque fuera completamente mitigado, el actor de amenazas pudo realizar ataques de fuerza bruta y generar tokens válidos para menos de 20 clientes con plan personal, lo que le permitió registrar un nuevo dispositivo en esas cuentas y descargar copias de las cajas fuertes encriptadas de los usuarios.
Una caja fuerte encriptada debe descifrarse antes de poder acceder a los artículos que contiene. Esto se hace con la contraseña maestra, que solo los usuarios conocen. Como parte de la arquitectura de conocimiento cero de Dashlane, Dashlane no guarda las contraseñas maestras ni sus derivadas en los servidores de Dashlane.
Protecciones adicionales para los usuarios
Dashlane ha implementado protecciones adicionales a nivel de red y dentro del producto para detectar y filtrar mejor el tráfico malicioso.
También se están agregando capas adicionales de verificación al flujo de registro de nuevos dispositivos. Este aviso se actualizará a medida que se implementen estos cambios.
Conclusión
La seguridad y la privacidad son fundamentales para Dashlane. Es nuestra responsabilidad proteger a nuestros usuarios de este tipo de ataques. Seguiremos invirtiendo en fortalecer la resiliencia de Dashlane.
Preguntas frecuentes
¿Qué puedo hacer como precaución adicional para proteger mi cuenta?
Los usuarios pueden:
- Revisar los dispositivos registrados en su cuenta y Eliminar los que no reconozca.
- Habilitar 2FA en su cuenta si aún no lo ha hecho.
¿Necesito cambiar mi contraseña maestra?
No. Las contraseñas maestras nunca se envían a los servidores de Dashlane en texto sin formato; por lo tanto, los atacantes nunca podrán obtener una contraseña maestra de esta manera. La única excepción es si sospecha que pudo haber sido víctima de phishing.
Lo más importante que puede hacer para mantener su cuenta segura es utilizar una contraseña maestra robusta. Necesita una contraseña maestra que sea larga, única y difícil de adivinar. Si cree que tiene una contraseña maestra débil o fácil de adivinar, cambie su contraseña lo antes posible.
¿Fueron robados/comprometidos/filtrados los datos de mi caja fuerte?
Nos hemos puesto en contacto con el número muy limitado de clientes cuyas cajas fuertes se vieron afectadas. En esos pocos casos, los atacantes solo pudieron copiar la caja fuerte encriptada, que requiere la contraseña maestra para desbloquear.
¿Necesito cambiar alguna de las credenciales de mi caja fuerte?
No. Para la gran mayoría de los usuarios cuyas cajas fuertes no se vieron afectadas, no es necesario cambiar las credenciales.
¿Qué es un ataque de fuerza bruta?
Un ataque de fuerza bruta es un método de ensayo y error utilizado por actores maliciosos para adivinar secretos, como credenciales de autenticación. En un escenario donde un atacante intenta aplicar fuerza bruta a un código numérico temporal, el atacante normalmente utilizará medios automatizados para enviar posibles combinaciones numéricas al sistema, con la intención de identificar una válida.
Creía haber eliminado mi cuenta, pero aún recibí un correo electrónico sobre su suspensión. ¿Siguen teniendo mis datos?
Eliminar una cuenta es un proceso diferente a eliminar la extensión de Dashlane o la aplicación móvil. Conservamos los datos asociados a las cuentas inactivas durante 13 meses, tal como se indica en nuestra política de privacidad, momento en el que se eliminan automáticamente. Para eliminar su cuenta, siga los pasos indicados aquí.
Sigo sin poder acceder a mi cuenta. ¿Qué debo hacer?
Póngase en contacto con nuestro equipo de Asistencia técnica a través del chatbot en nuestro Centro de asistencia.
Abrir el chatbot de Dashlane