El grupo de ciberdelincuentes Lapsus$ es uno de los más activos y peligrosos que operan en este momento. Han violado la ciberseguridad de multinacionales tecnológicas como Microsoft y su rastro pasa por múltiples administraciones públicas y gobiernos. Son muy agresivos, con ataques como el que tumbó toda la red de Vodafone en Portugal, que han llegado a calificarse de “acto terrorista” por dejar incomunicados a servicios de emergencia, bomberos, los principales bancos y millones de ciudadanos. Este jueves la policía británica ha detenido a siete adolescentes por su relación con estos hechos.
Las autoridades británicas no han confirmado si entre ellos se encuentra A.K., un joven de 16 años que en las últimas horas había sido señalado por múltiples investigadores de ciberseguridad como el cerebro detrás de Lapsus$, así como por hackers rivales.
Uno de los primeros indicios que apuntaron que un adolescente podía ser una de las personas clave de este grupo cibercriminal fue la empresa española Quantika14. Esta firma de análisis forense digital y peritaje informático pudo rastrearlo gracias a un conflicto interno en Lapsus$, durante el cual varios de sus miembros se atacaron entre ellos y dejaron pistas que permitieron a los investigadores comenzar a seguir sus huellas. Como documentó Quantika14 el 9 de marzo, una de las personas que estaba detrás de Lapsus$ era A.K., de 16 años.
“Es un adolescente que vive en el Reino Unido pero que viene de Albania”, explicaba a elDiario.es el director de Quantika14, Jorge Coronado, en la mañana de este jueves, antes de que se produjeran las detenciones. Fuera de Internet, A.K. es un joven al que le gusta ir a pescar con su tío. En la red, era una de las voces cantantes de Lapsus$. “Hay muchos indicios de que es su líder”, aseveraba Coronado.
En las últimas horas esa batalla entre ciberdelincuentes escaló y derivó en la publicación de todos los datos personales de A.K. en Internet. Su conflicto con otros hackers rivales le convirtió en objetivo de un doxing, un tipo de ciberataque basado en la revelar en Internet toda la información privada de una persona. El joven vio sus datos expuestos en un página web que se dedica a publicar este tipo de ataques. Su reacción fue intentar comprar la web y destruirla. El dueño le engañó, cogió el dinero pero mantuvo el doxing contra A.K.
“Este chaval empezó a relacionarse con diferentes personas que se dedican a atacar a otras empresas. Termina ganando muchísimo dinero pero también muchos enemigos”, continúa el director de Quantika14. Según ha comunicado la policía británica a la BBC, su fortuna ascendía ya 10 millones de euros. “Cuando se publica el doxing sobre él nos damos cuenta de que el chaval está viviendo una situación bastante complicada. No me extrañaría que de la misma forma que lo están buscando grandes empresas y sus investigadores, le busque también la mafia”.
“Se ha convertido en un objetivo ahora mismo, tiene bastante dinero. Se comenta, y a mi no me extrañaría nada porque he analizado sus redes sociales de arriba a abajo, que tenga algún tipo de Asperger”, continuaba Coronado. La BBC indica que era autista. Su padre ha narrado a la cadena pública británica que la familia “estaba preocupada por él e intentó alejarle de los ordenadores”.
El cerco contra el joven se había estrechado por más flancos. Cuatro investigadores de ciberseguridad independientes que trabajan para las empresas hackeadas por Lapsus$ habían señalado a Bloomberg que también tenían identificado a A.K. como “la mente maestra” detrás del grupo de cibercriminales más buscado. Encontraron las mismas evidencias forenses que Quantika14: adolescente, 16 años, residente en Oxford, en la casa de sus padres.
Las fuentes en contacto con el medio estadounidense apuntan que la evidencia forense relaciona al adolescente con algunos de los principales hackeos llevados a cabo por Lapsus$, pero no con todos. Los investigadores adelantaban que hay hasta siete personas diferentes que han participado en las acciones de la banda. Al menos uno de los seis restantes sería otro adolescente brasileño. Brasil y Reino Unido fueron las dos primeras áreas donde Lapsus$ comenzó a atacar objetivos locales antes de pasar a las grandes ligas y hackear a multinacionales como Microsoft o Nvidia.
A.K. tenía a múltiples investigadores pisándole los talones. “Tenemos su nombre desde mediados del año pasado y lo identificamos antes del doxing”, ha dicho a la BBC Allison Nixon, jefe de investigación de la empresa de investigación de ciberseguridad Unit 221B. “Unit 221B, en colaboración con [la empresa de ciberseguridad] Palo Alto, tras identificar al actor, vigiló sus movimientos a lo largo de 2021, enviando periódicamente a las fuerzas de seguridad un aviso sobre los últimos delitos”.
Desconcertaban a los investigadores
El modus operandi de Lapsus$ había desconcertado a los especialistas en ciberseguridad, que estudiaban sus ataques desde hace meses. “No parecen cubrir sus huellas. Llegan a anunciar sus ataques en las redes sociales o a anunciar su intención de comprar credenciales a los empleados de las organizaciones objetivo”, exponía Microsoft este miércoles en un comunicado en el que reconocía que miembros de la banda se habían colado en sus sistemas.
Una de las especialidades de Lapsus$ era hacerse con identificaciones oficiales de los trabajadores de las empresas a las que pretendían atacar, ya fuera sobornándoles o mediante el engaño. “Sus tácticas incluyen la ingeniería social basada en el teléfono; el intercambio de SIM para facilitar la toma de posesión de cuentas; el acceso a las cuentas de correo electrónico personal de los empleados de las organizaciones objetivo; el pago a los empleados, proveedores o socios comerciales de las organizaciones objetivo para acceder a credenciales y aprobar la autenticación de múltiples factores (MFA); y la intromisión en las llamadas de comunicación de crisis en curso de sus objetivos”, resume Microsoft.
Además de contra Microsoft y Nvidia, Lapsus$ ha reivindicado ciberataques exitosos contra Samsung o Ubisoft. En España, Telefónica ha sido uno de sus objetivos. Sin embargo uno de las acciones que despertó más preocupación entre los investigadores fue el hackeo de Okta, una empresa especializada en dar servicios de identificación a empleados de otras compañías. Con acceso a sus sistemas, los ciberdelincuentes pueden comprometer saltar a las redes de cientos de sus clientes.
Okta negó en un primer momento que Lapsus$ se hubiera infiltrado en su estructura, para terminar reconociendo este miércoles que un ciberataque ha afectado a una parte de sus clientes (hasta 400). “Tras un análisis exhaustivo, hemos llegado a la conclusión de que un pequeño porcentaje de clientes —aproximadamente el 2,5%— se ha visto potencialmente afectado y cuyos datos pueden haber sido vistos o manipulados”, ha afirmado su jefe de seguridad en un comunicado.