Lapsus$, quién es y cómo actúa el grupo de hackers que tiene en vilo a las grandes tecnológicas

En los últimos días los expertos en ciberseguridad no dejan de hablar de Lapsus$, un grupo de ciberdelincuentes que se ha ganado su reciente y siniestra fama a golpe de robo de datos en algunas de las más importantes empresas tecnológicas del mundo. Entre sus víctimas están Nvidia, Ubisoft, Vodafone, Samsung, Mercado Libre y Microsoft. Esta última confirmaba este martes que la banda, especializada en ciberataques con ransomware, le había robado 37 GB con código fuente de su navegador Bing y su asistente digital Cortana.

Sus acciones delictivas también han tenido como blanco a Okta, una empresa que ofrece servicios de verificación de identidad a terceras compañías, a uno de los mayores grupos de medios de comunicación de Portugal y al Ministerio de Salud de Brasil.

Aunque aún no está clara la motivación que hay detrás de sus ataques, todos de alto perfil, los expertos en ciberseguridad sospechan que se mueven por dinero y notoriedad. Su principal modus operandi es hackear grandes empresas, robar sus datos y amenazarles con publicarlos a menos que se les pague un rescate. Pero no siempre. A Nvidia, por ejemplo, no le pidieron dinero sino liberar el código fuente de los drivers de sus tarjetas gráficas y eliminar las restricciones que ha impuesto a la hora de usarlas para minar criptomonedas.

Más información

Microsoft confirma que el grupo Lapsus$ le ha robado 37 GB con código fuente de Bing y Cortana

Los hackers del mundo, enfrentados en la guerra en Ucrania

En lo que sí parecen avanzar las investigaciones es sobre quién o quienes están detrás de Lapsus$ y otros detalles acerca de su manera de operar. Este jueves Bloomberg informó de que cuatro expertos en ciberseguridad que investigan al grupo en nombre de las empresas atacadas estaban convencidos de que un adolescente de 16 años que vive con su madre cerca de Oxford (Inglaterra) es el cerebro detrás de Lapsus$. Y ello pese a que no le han podido vincular de manera concluyente con todos los hackeos reclamados por el grupo.

Los investigadores habían utilizado evidencias forenses de los ataques, así como información pública disponible para relacionar al joven, que se hace llamar “White” y “Breachbase” en la red, con la banda. Pero sospechaban que otro adolescente que reside en Brasil pertenece también al grupo, y daban por hecho que había más personas involucradas pues habían llegado a identificar siete cuentas únicas asociadas con Lapsus$.

Ayer por la tarde, la policía de Londres detuvo a siete adolescentes tras descubrir presuntas conexiones con este grupo. Según la BBC, que avanzó la noticia, los arrestados, con edades entre 16 y 21 años, fueron después puestos en libertad bajo investigación. La policía continúa con sus pesquisas.

El joven al que se acusa de ser el cerebro presuntamente ha amasado una fortuna de 14 millones de dólares. Según los investigadores que citaba Bloomberg, es tan rápido actuando que inicialmente pensaron que la actividad delictiva que estaban observando estaba automatizada.

Sin embargo, y pese a las habilidades demostradas por el grupo, parece que dar con estos jóvenes no ha sido demasiado complicado debido a que cuentan con una seguridad operativa deficiente. La propia Microsoft aseguró en su blog que a diferencia de la mayoría de los grupos [de ciberdelincuentes] que permanecen bajo el radar, Lapsus$ no parece esconder sus huellas.

Así, además de utilizar técnicas tradicionales de ingeniería social (tratando, por ejemplo, de engañar a empleados de empresas con llamadas telefónicas), “van tan lejos que incluso llegan a anunciar sus ataques en las redes sociales y a publicitar su intención de comprar credenciales de empleados de las organizaciones objetivo [para utilizarlas como puerta de entrada a los servidores de las compañías]”, dijo el gigante de Redmond.

Bloomberg también detalló que el hacker jefe adolescente ha tenido información personal, incluida su dirección e información sobre sus padres, publicada en la red. Mucha de esa información desvelada por hackers rivales. Además, el grupo de ciberdelincuentes compartía sus objetivos en un canal de Telegram que tiene más de 45.000 seguidores. Microsoft reconoció, de hecho, que pudo interrumpir la descarga de su código porque Lapsus$ habló de ello públicamente en Telegram antes de completar la descarga.

Esta falta de discreción que ha ayudado a acelerar en la investigación podría ser el fin de la banda. O no, pues el prolífico grupo de hackers tras Laspus$ parece tener su sede en América Latina. Y se desconoce cuántas personas lo componen. De momento, este miércoles el grupo informaba a través de su canal en Telegram que algunos de sus miembros tienen “vacaciones hasta el 30/3/22”. “Gracias por entendernos. Intentaremos filtrar cosas lo antes posible”, decía el mensaje.

El padre del joven cerebro del grupo le dijo a la BBC que su familia estaba muy preocupada y estaban tratando de mantenerle alejado de los ordenadores. El adolescente, cuyo nombre no ha sido desvelado por ser menor de edad, asiste a una escuela de educación especial en Oxford, pues según la cadena británica es autista. "Nunca había oído hablar de nada de esto hasta hace poco. Nunca ha hablado el de ningún hackeo, pero es muy bueno con los ordenadores y se pasa mucho tiempo con ellos. Siempre pensé que estaba jugando", añadió el padre.