- Lapsus$ es un colectivo de hackers que ha realizado ciberataques a firmas como Nvidia, Samsung, Ubisoft y más.
- Su modus operandi es distinto de otros colectivos de hackers: usan ingeniería social, suplantan tarjetas SIM e incluso compran contraseñas a empleados de sus víctimas.
- La compañía de autenticación Okta fue una de sus víctimas más recientes, así como Microsoft.
- ¿Ya conoces nuestra cuenta de Instagram? Síguenos.
En el ámbito de la ciberdelincuencia, 2020 y 2021 vio a REvil como el colectivo de hackers más peligroso. Este grupo se especializó en usar ransomware para cifrar archivos y sistemas de diversas empresas, obligándolos a pagar un rescate si quieren recobrar la normalidad.
REvil estuvo detrás de un ciberataque a un prestigioso despacho de abogados estadounidense que asesoró a celebridades como Madonna o al propio expresidente Donald Trump. También impactaron un sinfín de compañías; sin embargo, son más conocidos por atacar a Colonial Pipelines.
Eventualmente, REvil fue desmantelado; sin embargo, en 2022 un nuevo grupo se alzó para ocupar el lugar de este grupo criminal: Lapsus$.
En cuestión de semanas, este grupo vulneró las defensas informáticas de multinacionales de la talla de Samsung, Ubisoft e incluso Microsoft. De hecho, esta última confirmó ser afectada por uno de sus ataques esta semana. Los hackers de Lapsus$ consiguieron filtrar buena parte del código fuente de su motor de búsqueda, Bing, y de su asistente de voz, Cortana.
Lapsus$ también atacó a Nvidia hace unos días, a quien le exigió un rescate de lo más singular. No bastaba con dinero: Nvidia tenía que comprometerse a retirar una funcionalidad en los últimos modelos de sus tarjetas gráficas que afectaba al rendimiento del hardware cuando un algoritmo detectaba que esta se estaba empleando para minar criptomonedas.
Además, este grupo reivindica sus fechorías en un canal de Telegram. Hasta la fecha, muchos de estas organizaciones de criminales informáticos construían sus propios sitios en la dark web, lejos de la vista del usuario común. Pero la acción de las autoridades de diversos países a raíz del ataque a Colonial el año pasado provocaron que este tipo de páginas fueran derribadas constantemente.
No ocurre lo mismo en Telegram. La aplicación de mensajería fundada por Pavel Durov está aguantando incluso los envites de la guerra en el este de Europa. Solo ha cedido a cuestiones muy concretas a instancias de la Unión Europea, como es retirarle sus canales a medios de comunicación públicos rusos acusados de trasladar desinformación a Occidente.
Se desconoce la base de operaciones de Lapsus$, aunque se cree que estos hackers podrían estar en Brasil o la Península Ibérica
Si por algo es sido conocida Rusia es por ser cuna de muchos de estos colectivos de ciberdelincuencia. De hecho, la mayoría de las ciberamenazas persistentes avanzadas proceden de allí, China o Corea del Norte.
En el caso de Lapsus$, se da la particularidad de que sus primeros objetivos fueron conglomeraciones de medios e incluso administraciones de habla lusa. Según The Record, los primeros objetivos fueron precisamente medios de comunicación portugueses. Debido a ello, se sospecha que su base de operaciones podría estar en Brasil o en la Península Ibérica.
De hecho, los hackers secuestraron la cuenta de Twitter del periódico portugués Expresso y tuitearon «Lapsus$ es el nuevo presidente de Portugal».
Los siguientes objetivos de la banda estuvieron en Brasil, donde atacaron al Ministerio de Sanidad del país y al operador de telecomunicaciones Claro. Lapsus$ aseguró destruir incluso los datos que permitían a la administración brasileña generar sus propios certificados de vacunación.
Otra singularidad de Lapsus$ es la relación que tiene con su comunidad de seguidores. En su canal de Telegram reúne a una audiencia de más de 44,000 usuarios. El colectivo ha logrado labrarse una reputación realizando incluso encuestas sobre cuáles serán sus siguientes objetivos.
Lapsus$ podría ser más peligroso que el resto de los colectivos de hackers
Esta semana Okta, una firma estadounidense especializada en gestión de accesos de usuario, fue una de sus víctimas; sin embargo, la empresa rechaza haber sido afectada por un ciberataque de Lapsus$. Ante esto, el colectivo dice «disfrutar» de las «mentiras» de la compañía y la anima a publicar un informe de una auditoría externa.
Microsoft fue más transparente sobre sus ataques, y para tranquilizar a accionistas y usuarios, aseguró que «no confía en el secretismo de código como una medida de seguridad».
«Esta semana el actor —en referencia a Lapsus$— ha reivindicado un acceso a Microsoft y una filtración de partes de nuestro código fuente. Ni datos de clientes ni código de clientes se han visto afectados por las actividades analizadas. Nuestra investigación ha detectado que una cuenta de acceso limitado se vio comprometida. Nuestro equipo de respuesta a incidentes de ciberseguridad ya ha intervenido».
Microsoft destaca en su análisis que entre los primeros objetivos de Lapsus$, además de firmas en Portugal y Brasil, también se detectaron ataques contra compañías en Reino Unido. Lo que hace a esta banda más peligrosa que sus antecesoras es que utilizan prácticas poco extendidas entre otros colectivos del cibercrimen.
De hecho, no utilizan programas de ransomware que han hecho famosos a otros colectivos.
«Como hace la mayoría de colectivos que tenemos bajo el radar, DEV-0537 [Lapsus$] no parece borrar sus huellas. De hecho, van más allá y anuncian sus ataques en redes sociales e incluso anuncian sus intentos de comprar contraseñas de empleados en las empresas a las que pretenden atacar», explica la tecnológica.
Microsoft incide en que este grupo «usa tácticas que no son muy frecuentes en otras bandas, como ingeniería social mediante llamadas telefónicas, suplantaciones de tarjeta SIM, pagan a empleados e incluso a proveedores».
AHORA LEE: 5 de los ciberataques más comunes y cómo se han utilizado en conflictos anteriores
TAMBIÉN LEE: Ciberdelincuentes roban datos de 300,000 usuarios de Mercado Libre
