El 31 de mayo de 2026, un actor externo lanzó un ataque de fuerza bruta contra un número reducido de cuentas de Dashlane. Los atacantes usaron herramientas automatizadas para probar todas las combinaciones posibles de códigos de autenticación de dos factores (2FA) hasta obtenerlos. Una vez dentro, registraron dispositivos propios en las cuentas comprometidas y descargaron copias de las bóvedas de contraseñas cifradas de menos de 20 usuarios.Dashlane lo confirmó el 1 de junio en su página de incidentes y TechCrunch lo publicó el 2 de junio de 2026.La clave para entender el alcance real del incidente está en lo que se robó y lo que no.Qué se robó y qué protección real tieneLas bóvedas descargadas están cifradas. Dashlane usa una arquitectura de zero-knowledge: la empresa no conoce tu contraseña maestra, no la almacena en sus servidores y no puede descifrar tu bóveda aunque tenga acceso a ella. Las bóvedas que los atacantes descargaron son archivos cifrados que solo pueden leerse con la contraseña maestra del propietario, que nunca sale del dispositivo del usuario.Dashlane fue directo con la advertencia que importa: los usuarios con contraseñas maestras débiles o fáciles de adivinar están en mayor riesgo. Los atacantes que tienen una copia cifrada de una bóveda pueden intentar descifrarla sin límite de tiempo y sin tocar los servidores de Dashlane, probando millones de combinaciones por segundo con herramientas de cracking offline. Si tu contraseña maestra es corta, común o predecible, ese proceso puede terminar en horas.El punto de entrada del ataque fue el sistema de 2FA, no el cifrado de las bóvedas. Los atacantes forzaron los códigos TOTP (las claves numéricas de 6 dígitos que cambian cada 30 segundos) de las cuentas objetivo. Dashlane no ha explicado públicamente si fallaron los mecanismos de rate-limiting, si había debilidades en el sistema de registro de nuevos dispositivos, o qué salvaguardas concretas implementará para evitar repeticiones. La empresa dice que tomó «medidas para mitigar incidentes futuros» sin especificarlas.No hay evidencia de que los sistemas internos de Dashlane fueran comprometidos. El ataque fue contra cuentas de usuario individuales, no contra la infraestructura de la empresa.El fantasma de LastPass: por qué este tipo de incidente importa aunque sean 20 usuariosEn 2022, LastPass sufrió un incidente similar: bóvedas cifradas de clientes fueron robadas durante un ciberataque. Lo que siguió fue peor: en los meses y años posteriores, se documentaron múltiples casos de usuarios con contraseñas maestras débiles que vieron cómo sus bóvedas eran descifradas y sus cuentas de criptomonedas vaciadas. Los atacantes simplemente esperaron a tener tiempo para hacer cracking offline.El incidente de Dashlane es mucho más pequeño en escala — LastPass afectó potencialmente a millones de usuarios, aquí son menos de 20. Pero el patrón de riesgo es idéntico: bóvedas cifradas en manos de atacantes + contraseñas maestras débiles = exposición real con tiempo suficiente.La guía de gestores de contraseñas que publicamos en abril advierte específicamente sobre este escenario: el eslabón débil de un gestor no suele ser el cifrado sino la contraseña maestra. Un estudio de ETH Zurich y la Università della Svizzera italiana publicado en febrero analizó 25 escenarios de ataque contra los procesos de recuperación de Bitwarden, LastPass, Dashlane y 1Password. Dashlane recibió 6 ataques teóricos identificados; ninguno explotado en el mundo real, pero el perfil de riesgo existe.Qué debes hacer si eres usuario de DashlanePaso 1: Verifica los dispositivos vinculados a tu cuenta. Entra en la configuración de Dashlane y revisa la lista de dispositivos autorizados. Si hay alguno que no reconoces, elimínalo inmediatamente.Paso 2: Comprueba si eres uno de los afectados. Dashlane notificó directamente a los ~20 usuarios afectados. Si no recibiste una notificación, tu bóveda probablemente no fue descargada. «Probablemente» no es «definitivamente» — mantén la precaución.Paso 3: Evalúa tu contraseña maestra. Si tu contraseña maestra tiene menos de 16 caracteres, si usa palabras del diccionario, si es similar a contraseñas que usas en otros servicios, o si la llevas usando desde hace más de dos años sin cambiarla, cámbiala ahora. Una contraseña maestra débil es la única vía real de compromiso de tus datos cifrados.Paso 4: Activa 2FA si no lo tienes, o mejóralo si lo tienes. El ataque aprovechó el sistema de 2FA, lo que paradójicamente demuestra que el 2FA funciona como capa de protección (los atacantes tuvieron que romperlo). Las passkeys, que eliminan la dependencia de códigos numéricos, son la alternativa más robusta — si Dashlane las soporta para tu cuenta, es el momento de activarlas.Mi valoraciónEl incidente de Dashlane es pequeño en escala pero importante en lo que revela. La arquitectura zero-knowledge funciona: los atacantes tienen datos que no pueden leer sin la contraseña maestra. Eso es un éxito de diseño. El fallo está en el mecanismo de 2FA, que fue vulnerable a fuerza bruta — y eso es un fallo operativo que Dashlane tiene que explicar con más detalle del que ha dado.Lo que más me convence de cómo Dashlane manejó la comunicación es la transparencia inmediata. Publicó la información en su página de incidentes antes de que los medios tuvieran la historia, notificó directamente a los afectados y fue honesta sobre el riesgo de contraseñas maestras débiles. Eso es comunicación de crisis correcta.Lo que más me preocupa es la falta de detalles técnicos sobre el fallo. «Tomamos medidas para mitigar incidentes futuros» sin especificar cuáles no le dice nada a los usuarios ni a los investigadores de seguridad que necesitan evaluar si el vector de ataque sigue siendo viable. Esa opacidad reduce la confianza.Lo más estructuralmente significativo es la confirmación, una vez más, de que el 2FA basado en TOTP (códigos de 6 dígitos) tiene vulnerabilidades frente a ataques automatizados suficientemente rápidos. La industria lleva tiempo señalando que las llaves de hardware (YubiKey) y las passkeys son más robustas que los códigos TOTP. Este incidente añade un caso práctico más al argumento.Preguntas frecuentes¿Dashlane fue hackeado? ¿Están mis contraseñas en riesgo?Depende de cómo definas «hackeado». Los sistemas internos de Dashlane no fueron comprometidos. Lo que ocurrió es que atacantes forzaron el 2FA de menos de 20 cuentas de usuarios y descargaron copias de sus bóvedas cifradas. Si no recibiste notificación de Dashlane, tu bóveda probablemente no fue descargada. Las bóvedas descargadas están cifradas y solo pueden leerse con la contraseña maestra del propietario.¿Qué es el ataque de fuerza bruta al 2FA y cómo funcionó?El 2FA en Dashlane (y en la mayoría de servicios) usa códigos TOTP: números de 6 dígitos que cambian cada 30 segundos. Los atacantes usaron herramientas automatizadas para probar rápidamente todas las combinaciones posibles de esos códigos contra un número reducido de cuentas objetivo. Cuando adivinaron el código correcto en el momento válido, registraron un nuevo dispositivo en la cuenta y descargaron la bóveda cifrada.¿Debería cambiar mi gestor de contraseñas después de este incidente?No necesariamente. El cifrado zero-knowledge de Dashlane funcionó: los datos robados no son legibles sin la contraseña maestra. Lo que sí debes hacer inmediatamente es asegurarte de que tu contraseña maestra sea larga (16+ caracteres), única y no predecible. Si lo es, tu riesgo es mínimo incluso si los atacantes tuvieran una copia de tu bóveda. Si no lo es, considera cambiarla y evaluar si quieres añadir una capa extra de protección con una llave de hardware.La noticia Hackers roban bóvedas de contraseñas de Dashlane forzando el 2FA: qué pasó y qué debes hacer si eres usuario fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.