Lapsus$ y cómo esta organización ha puesto en jaque a gigantes de la tecnología

Desde hace algunos meses, un grupo de ciberdelincuentes denominado Lapsus$ ha hecho noticia en internet, atacando a compañías de renombre como Microsoft, NVIDIA, Qualcomm o Ubisoft casi por “diversión”.

El grupo, sin embargo, no solo se ha caracterizado por ser el terror de las gigantes tecnológicas, sino también por mostrar características muy particulares en este tipo de delitos: sus cabezas, según policías internacionales, son menores de edad y muchos de ellos radican en Latinoamérica.

Lapsus$: su historial 

El historial delictivo de Lapsus$ es largo y comprometedor.

El ataque más fuerte fue contra NVIDIA, en donde se habla del secuestro de la información del código de desarrollo de tecnologías futuras de la tarjeta gráfica RTX 3090 Ti o las ya conocidas bondades para videojuegos como DLSS. En dicha oportunidad, curiosamente no solicitaban dinero a cambio de los datos, sino la liberación de la capacidad de las tarjetas gráficas de la compañía para poder minar criptomonedas.

Otro caso particularmente llamativo es el ataque a Samsung, donde se robaron 190GB de información confidencial de sus tecnologías como algoritmos de cifrado.

Pero también estamos hablando de empresas de presencia casi intrínseca en nuestra región como Mercado Libre, donde la propia compañía confirmó la vulneración de cuentas de más de 300 mil usuarios y su mecanismo Mercado Pago.

Esto ha hecho pensar a los investigadores (y efectivamente, llegar a capturar a algunos de ellos) de que las cabezas radican en Latinoamérica y en países como Brasil.

El primer ataque señalado a Lapsus$ pareciera confirmar la teoría: en 2020, filtraron más de 50TB de datos de personas vacunadas en el padrón del Ministerio de Sanidad de Brasil. Posteriormente, sus ataques fueron a organizaciones de habla portuguesa como Impresa o Claro.

“El cibercrimen es un problema global con actores de todo el mundo, esto incluye a América Latina y se espera que aumente en el corto plazo”, señala Nick Biasini, Head de Outreach, Cisco Talos. Esta organización es uno de los equipos de inteligencia de amenazas comerciales más grandes del mundo, compuesto por investigadores, analistas e ingenieros de primer nivel.

“De acuerdo con la telemetría de ESET, a nivel global durante 2021 se registraron en promedio alrededor de 450,000 nuevas muestras únicas de malware diariamente, en comparación con el promedio de 300,000 registradas a diario durante 2020. Esto nos muestra un importante incremento en el número de amenazas desarrolladas, pero no solo se percibe el incremento en la cantidad, sino también un aumento en la complejidad y diversidad”, señala Miguel Ángel Mendoza, Security Researcher en ESET Latinoamérica. “De manera particular, este panorama se presenta en Latinoamérica, donde las amenazas informáticas también presentan una tendencia al alza en los últimos años, en particular desde la declaración de la pandemia y los confinamientos generalizados”.

Los miembros de esta organización, inclusive, podría no alcanzar la mayoría de edad. Las teorías sobre sus líderes son variadas, primero con el informe de Bloomberg donde cuatro expertos en ciberseguridad que investigan al grupo en nombre de las empresas atacadas estaban convencidos de que un adolescente de 16 años que vive con su madre cerca de Oxford (Inglaterra) es el cerebro detrás de Lapsus$.

Sin embargo, también sospechaban que otro adolescente radicado en Brasil estaba involucrado en el grupo. Y aunque geográficamente estaban separados por cientos de kilómetros, internet les facilitó la coordinación para sus ataques.

“Por lo general, vemos a personas más jóvenes involucradas en delitos cibernéticos, no necesariamente menores, pero generalmente es un grupo demográfico más joven el que realiza delitos cibernéticos”, señala Biasini.

“Dentro del abanico de posibilidades de ciberdelincuentes, existen diferentes perfiles que van desde los más jóvenes hasta personas muy experimentadas, o bien, desde personas que operan de forma independiente e individual, hasta grupos muy bien organizados con distintas habilidades y conocimientos”, reporta Mendoza.

Sobre el joven inglés se conoce más. El padre del adolescente indicó a la BBC que su familia está preocupada y estaban tratando de alejarlo de las computadoras. Según los reportes, el adolescente se movía en línea bajo el apodo de "White" o "Breachbase".

“Siete personas de entre 16 y 21 años han sido arrestadas en relación con una investigación sobre un grupo de piratas informáticos. Todos han sido liberados bajo investigación. Nuestras investigaciones siguen en curso", declaró la policía londinense ante la difusión del caso.

 El enemigo está donde menos te lo esperas

Y para hablar de cómo trabaja Lapsus$, fue vital que atacasen a uno de los gigantes corporativos más grandes de la industria: Microsoft.

Al momento de atacar la nube de Azure, Cortana o hasta Bing, Microsoft se dio cuenta de un gran detalle de Lapsus$: no son nada cautos para sus ataques.

Quizás en su afán adolescente de llamar notoriedad, los investigadores señalan que Lapsus$ se mueve en grupos de Telegram de hasta 45 mil seguidores, donde son ellos mismos quienes votan para elegir a su próxima víctima. Cuando se cumplen objetivos, el grupo de ciberdelincuentes filtran capturas para comprobar que, efectivamente, habían conseguido el atraco.

“Se ha reportado que gran parte de su acceso ha sido comprado, las organizaciones deben darse cuenta de que el acceso a los entornos está potencialmente a la venta y prepararse en consecuencia”, aclara el vocero de Cisco Talos. Esto es importante porque la empresa tecnológica comprobó la hipótesis: Lapsus$ no escatima en gastos al momento de acercarse a trabajadores de las compañías y comprar sus credenciales de accesos al sistema.

Pero cuando Lapsus$ no puede atacar de esta manera directa, lo hace de forma más tradicional: mediante el malware y phishing. A través de videos engañosos, buscan que los empleados “piquen el anzuelo” e involuntariamente se dejen secuestran por la organización, quedando sus datos a merced de su voluntad.

Es por ello por lo que el vocero de ESET Latinoamérica resalta que “las detecciones de phishing en Latinoamérica se duplicaron de 2019 a 2020, y lo mismo ocurrió en 2021 comparando con 2020, donde los registros volvieron a aumentar en 100%”.

“Las amenazas pueden llegar desde cualquier frente, incluso desde los menos pensados. En este sentido, las organizaciones están expuestas a todo tipo de amenazas, desde ataques genéricos hasta los denominados ataques dirigidos, que además son cada vez más sofisticado”, recalcó.

¿Cómo evitar estos ataques?

Los expertos consultados coinciden en que es imposible cerrar todos los frentes para evitar estos ciberataques, pero que sí se pueden cerrar brechas para minimizar los riesgos.

“Evitar los ataques cibernéticos implica un gran compromiso que incluye muchos aspectos diferentes, sobre todo un enfoque de defensa en profundidad, incluido el despliegue de tecnologías defensivas junto con la educación del usuario sobre las amenazas planteadas y las prácticas de seguridad adecuadas”, finaliza Nick Biasini.

“Las amenazas informáticas y ciberataques han aumentado en cantidad, complejidad y diversidad, situación que se acentúa con la mayor dependencia digital de la actualidad. Por lo que la ciberseguridad se vuelve más relevante para usuarios, organización de todos los sectores e incluso gobiernos, menciona Miguel Ángel Mendoza. “En este contexto, es necesario comprender que la ciberseguridad además de cimentarse en la tecnología también debe contar con otros pilares que van desde las regulaciones hasta aspectos operativos y de gestión. Por ello, es indispensable contar con los procesos, personal y la tecnología necesaria para hacer frente a las amenazas y ataques”.

Te recomendamos METADATA, el podcast de tecnología de RPP. Noticias, análisis, reseñas, recomendaciones y todo lo que debes saber sobre el mundo tecnológico. Para escucharlo mejor, #QuedateEnCasa.