Un grupo de ciberdelincuentes ha sido protagonista las últimas semanas por robar datos de empresas importantes como Microsoft, Nvidia, Samsung, Ubisoft, Vodafone, Mercado Libre y otras. La buena noticia es que la policía británica ha detenido a un grupo de jóvenes (de entre 16 y 21 años) que parecen estar detrás de Lapsus$ tras una investigación de cuatro expertos en ciberseguridad que investigaron el tema en nombre de las empresas atacadas. La mala noticia es que no se les ha podido vincular de forma concluyente, por lo que fueron puestos en libertad bajo investigación.

La indagación ha sido muy rápida porque la seguridad operativa de Lapsus$ era muy deficiente, cosa no muy normal en los grandes grupos de ciberdelincuentes. Además disponían de un canal de Telegram con 45.000 seguidores donde el grupo compartía sus objetivos.
El adolescente (16 años) que supuestamente es el cerebro del grupo fue detenido cerca de Oxford y según la BBC es un chaval que va a una escuela especial por ser autista. Sus padres han reconocido que se pasaba muchas horas ante el ordenador, pero pensaban que “estaba jugando”. Después de él, la policía de Londres detuvo a otros siete jóvenes más o menos vinculados al primero. De todos modos la investigación no ha finalizado y la conexión con una supuesta rama que se encuentra en Brasil no está aclarada. Y eso se debe a que la empresa estadounidense Okta, especializada en servicios de verificación de identidad que presta servicios, por ejemplo, al Ministerio de Salud de Brasil, también fue diana del grupo, seguramente desde Latinoamérica.

Una de las empresas objetivo fue la estadounidense Nvidia, especializada en en el desarrollo de unidades de procesamiento gráfico (GPU) y tecnologías de circuitos integrados. Lapsus$ robó certificados de firma electrónica de los desarrolladores de este empresa para tener acceso a los equipos informáticos y poder descargar software malicioso. Y lo hizo con un ataque de ransomware.

En el caso de Microsoft, fue la propia compañía la que confirmó el robo de código fuente. Según los ciberdelicuentes, que lo compartieron en Telegram, sustrajeron el 90% de los datos de Bong Maps y el 45% de los datos del motor de búsqueda de Microsoft (Bing) y su asistente Cortana. El centro de inteligencia sobre amenazas de Microsoft (MSTIC) determinó que el grupo es un “actor motivado por el robo y la destrucción”. Y explicaron que sus tácticas, técnicas y procedimientos cambian y evolucionan constantemente. Lo podéis leer en el blog de su propia web AQUÍ.

Lo que viene a decir este centro de inteligencia es que atacan a grandes empresas, robando sus datos y amenazándoles con publicarlos si no les pagan. Pero no siempre ha sido así, porque a Nvidia no les pidieron dinero, sino liberar código fuente de sus tarjetas gráficas y eliminar uns restricciones que la empresa había puesto para minar criptomonedas.
En cualquier caso el grupo ha usado varias técnicas, como usar las redes sociales para reclutar personas con información privilegiada de las empresas. También han usado la técnica del SIM swapping, es decir robar la identidad de una persona duplicando su tarjeta SIM del smartphone. Nosotros ya alertamos de esta técnica en este artículo de diciembre de 2019. En este otro post de octubre de 2021, hablábamos de nuevas normas para obligar a los operadores de telefonía a incrementar la seguridadel uso de las tarjetas. Lo podéis leer en el artículo titulado Pequeñas cosas que hacen la vida más fácil.
Y naturalmente, también han usado la extorsión. De hecho, se cree que en pocos meses han podido ganar más de 12,5 millones de euros.

El ascenso y caída del grupo de delincuentes Lapsus$ es una noticia que más allá del tema de la ciberseguridad nos obliga a interrogarnos sobre temas sociales. Que un chico de 16 años aquejado de autismo sea el presunto cerebro de este grupo es preocupante. Sin embargo la investigación sigue, porque los delitos como la extorsión siguen ahí y no es un juego de adolescentes.
Tenemos que recordar que normalmente este tipo de ataques a grandes corporaciones están dirigidos por grupos especializados de ciberdelincuentes, bien organizados, muy protegidos y actuando desde lugares muy difícilmente detectables. Así que deberemos esperar los resultados de la investigación abierta para saber con más detalle lo que hay detrás de Lapsus$. Pero de momento el hecho final conocido es que unos adolescentes avispados han puesto en jaque a empresas muy poderosas. Lo que viene a demostrar una vez más, la importancia de que las empresas deban tener realmente un plan de ciberseguridad bien definido. ¡Nadie está a salvo!

Imagen Principal: Elchinator en Pixabay.