A lo largo de la era digital, en el mundo han surgido diversos creadores de virus informáticos o grupos de hackers que más de una vez han puesto en jaque a las empresas tecnológicas o gobiernos, aunque en la era moderna -además de Anonymous- no se había conocido de alguno que tuviera relevancia mundial, como en el caso de este conjunto liderado supuestamente por un joven autista que acumula una larga lista de robos de información a empresas, hablamos de los hackers conocidos como Lapsus$.
Gigantes tecnológicos, las víctimas detonantes.
En el año 2020, en pleno inicio de la pandemia de Covid-19 se dio a conocer que el ministro de Sanidad de Brasil había sido víctima de hackeos, aunque no se informó sobre responsables.
Posteriormente, en 2021 firmas como Claro, Embratel, Net y Localiza fueron víctimas de un moderado grupo de piratas informáticos llamado Lapsus$ quienes se darían a conocer en todo el mundo en 2022, derivado de ataques a gigantes tecnológicos.
Algo curioso sobre Lapsus$ es que en sus inicios contaban con un grupo en Telegram en el cual se realizaban encuestas sobre a qué empresas atacar, además de divulgar los enlaces con toda la información y reclutar a posibles empleados tecnológicos.
A finales de febrero de 2022 se comenzó a divulgar la noticia de que Nvidia, una de las empresas más importantes de tarjetas gráficas había sido víctima de un numeroso robo de información el cual fue auto atribuido en ese entonces un grupo apenas conocido llamado Lapsus$.
Nvidia informó en primera instancia que estaba en proceso de investigación de un incidente donde se había vulnerado su seguridad que había mermado su sistema por cerca de dos días, generando interrupciones en sistemas de correo electrónico y herramientas de desarrollo. Posteriormente se dio a conocer que el “botín” obtenido por los piratas informáticos fue de más de 70 mil credenciales de empleados de la compañía, además de obtener códigos fuente de controladores y de productos importantes, como la RTX 3090 Ti, la cual será lanzada en próximos meses y cuya información fue utilizada para extorsionar a la firma.
Posteriormente se dieron a conocer más ataques, ahora fue Samsung, la empresa de celulares, pantallas y demás productos electrónicos reportó un incidente de robo de información que escaló hasta los 189.93GB de información, entre los que destacó el código fuente de dispositivos Galaxy e información interna.
Si bien Samsung reconoció la filtración, aseguró que no se comprometió información sobre datos personales de empleados o de usuarios.
La lista de las empresas hackeadas por Lapsus$ continuó con Mercado Libre en donde de acuerdo con información de la propia empresa más de 24 mil repositorios de información de aproximadamente 300 mil cuentas del código fuente de la página fueron vulneradas.
No obstante, a finales de abril de 2022 se dio a conocer que en realidad fueron más personas afectadas de lo que se había calculado, por lo que la página de comercio electrónico continuaba comunicando a usuarios al respecto.
Como si esto no bastara para ponerse en el radar, los ataques continuaron, con Ubisoft reportando una infracción en su contra y posteriormente Microsoft anunciado lo propio con rumores de que el grupo de piratas informáticos había podido acceder al código fuente de Bing y Cortana.
En el caso de la firma fundada por Bill Gates, se dio a conocer posteriormente que Lapsus$ obtuvo hasta 37GB de información proveniente de Microsoft, de las cuales, destacó el 90 por ciento del código fuente del buscador Bing y el 45 por ciento de la asistente de voz virtual Cortana. Al igual que en otros ataques anteriores, los hackers publicaron en Telegram parte de la información que obtuvieron. Además, atacaron a la firma Okla, la cual, desde el inicio minimizó el ataque y buscó evitar filtraciones.
A pesar de la larga lista de empresas, cabe señalar que estos ataques ocurrieron en aproximadamente un mes. El último fue dado a conocer por T-Mobile, quien confirmó hace apenas unos días que “hace muchas semanas” tuvieron una intervención en sus instalaciones digitales, aunque los ciberdelincuentes no pudieron obtener datos de valor debido a que había una verificación adicional a las credenciales robadas que habían usado los hackers para acceder.
A pesar de ello, sí pudieron obtener el código fuente de T-Mobile e incluso acceso a una herramienta llamada Atlas, que maneja cuentas. No obstante, la firma asegura que no se comprometió información de clientes o del gobierno.
¿Cómo operan?
De acuerdo con el medio especializado TitanHq, el modus operandi de Lapsus$ tiene que ver con una introducción de un ransomware mediante un ataque por phishing, mediante el cual, pueden acceder a sistemas internos de alto nivel y con ello acceder a paneles de control y cuentas de redes sociales.
Desde su creación han estado en actividad continua mediante Telegram, en donde han colocado desde encuestas sobre a las víctimas a atacar hasta reclutar a empleados de diversas empresas tecnológicas a quienes incluso les ofrecen dinero a cambio de sus credenciales.
Otro de los puntos cruciales es que, de acuerdo a especialistas, Lapsus$ va más allá de la simple extorsión o una ganancia rápida, sus blancos tienen que ver con un campo en específico: empresas de tecnología.
Capturaron algunos responsables en Londres; grupo está inactivo
A finales de marzo, la BBC dio a conocer que en Londres siete adolescentes fueron detenidos por tener presuntas conexiones con Lapsus$. Esto venía a refutar la teoría que se tenía con base en sus primeros ataques, la cual señalaba que el grupo era latinoamericano.
En total, la policía local capturó a siete personas de entre 16 y 21 años, lo cual, se supone, estuvo relacionado con la contratación de investigadores privados por parte de las empresas afectadas para seguirle la pista a los hackers.
Dentro de la información que trascendió, se aseguró que el responsable detrás de Lapsus$ es un adolescente de 16 años originario de Oxford conocido como “White” quien tiene autismo y cuenta con antecedentes en diversas comunidades de hackers, como el hecho que compró un sitio web llamado Doxbin, el cual era utilizado para publicar información personal de diversos individuos.
No obstante, los usuarios no estuvieron de acuerdo con la administración de White, por lo que filtraron su información personal y su “currículum” como hacker, el cual incluye la acumulación de más de 300 bitcoins y su afiliación a Lapsus$.
Finalmente, la policía de Londres dio a conocer que dos adolescentes de los siete detenidos habían sido procesados al tener cinco cargos en su contra, entre los que destacan acceso no autorizado a una computadora con el objetivo de afectar la confiabilidad de los datos, representación falsa y acceso no autorizado a una PC con el agravante de obstaculización de acceso a información.
A partir de la realización del procesamiento legal, el Telegram de Lapsus$ se ha mantenido inactivo y sólo se han obtenido datos nuevos sobre acciones previas a las detenciones.
