Lapsus$ y su hacker macarra adolescente

Parece una historia propia de un guion de película de los años 80, pero no. La oleada de ciberataques perpetrados por un grupo llamado Lapsus$ está tomando un rumbo hollywoodiense. Entre los afectados confirmados se encuentran compañías de la talla de Nvidia, Microsoft y Okta y, según los últimos avances en la investigación, todo podría ser obra de un adolescente.

En el caso de Microsoft, Lapsus$ habría filtrado numerosos documentos internos (37 GB de información), incluido el código fuente del motor de búsqueda Bing. Con Okta, en cambio, el ciberataque se había cobrado a 366 clientes como víctimas, es decir, el 2,5% de los algo más de 15.000 clientes con que cuenta la compañía.

Según han relatado fuentes de la propia Okta, el hacker habría utilizado el portátil de un ingeniero subcontratado como puerta de entrada, publicando posteriormente en su canal de Telegram –que ya supera los 45.000 suscriptores- capturas de pantalla de los sistemas de Okta. Los investigadores de Microsoft, que han bautizado al hacker como DEV-0537, destacan cómo éste no se molesta en cubrir sus huellas, en un claro signo de deseo de notoriedad.

A estas víctimas se suman, además, las que Lapsus$ afirma haber atacado también, como Samsung Electronics, Vodafone y Ubisoft. Otra de las compañías afectadas sería la plataforma latina de comercio electrónico Mercado Libre, que opera en más de una docena de países, habiendo sido comprometidos los datos de unos 300.000 usuarios tras producirse accesos no autorizados a su código fuente.

Los últimos avances en las investigaciones vinculan a un hacker de 16 años de Oxford que pertenecería a Lapsus$ y cuyas motivaciones serían, básicamente, el dinero y la fama. Así lo ha revelado Bloomberg citando a investigadores de ciberseguridad. Esta vinculación no se ha podido aún establecer de forma concluyente, pero en estas primeras informaciones todo apunta a que el menor de edad se haría llamar White y Breachbase en internet.

Aunque hay otra línea de investigación señala a un segundo adolescente afincado en Brasil como autor del hackeo, los piratas informáticos rivales del británico ya han publicado los datos personales de White, incluida la dirección de sus padres, en internet.

La acción de Lapsus$ lleva el descaro y la irreverencia a la máxima expresión, hasta el punto de haberse unido a llamadas de Zoom de las empresas afectadas para burlarse de los consultores que tratan de limpiar el hackeo. Este grupo de ciberdelincuentes lanza, incluso, encuestas vía Twitter para decidir quién será su próxima víctima. Este grupo de ciberdelincuentes publica anuncios de reclutamiento, normalmente en inglés y portugués; y es que según la firma de ciberinteligencia Flashpoint, la mayoría de las víctimas del grupo habían estado hasta la fecha en América Latina y Portugal.

Sin embargo, detrás de esta conducta canallesca que dibuja sonrisas en algunos, hay un peligro real. El experto en seguridad Brian Krebs es uno de los que más ampliamente ha seguido a este grupo, al que se relaciona con el ataque sufrido el año pasado por Electronic Arts (EA), que fue extorsionada a cambio de no hacer públicos los cerca de 780 GB de código fuente comprometido. Según documenta el experto, estos grupos cuentan con abultados presupuestos en criptomoneda para comprar fallas de seguridad de día cero en herramientas de colaboración y acceso remoto tipo  Github, Gitlab, Twitter, Snapchat, Cisco VPN, Pulse VPN, entre otras. Definitivamente, no es cosa de broma.