Quiénes son los adolescentes acusados de destripar los secretos más valiosos de Uber

"¡La filtración de Samsung está aquí! Aquí está el código fuente confidencial de Samsung", dice un mensaje en un grupo de Telegram con unos miles de seguidores. A continuación, aparece un listado en el que se relacionan los distintos tipos de información sustraídos a la firma surcoreana, como aquellos que explican el funcionamiento de los modelos Galaxy. Después, llega la guinda: un archivo de 190 GB para descargar todo mediante Torrent.

Ese fue el 'modus operandi' de Lapsus$ para anunciar (y probar) que se había cobrado una nueva víctima, pero no era la primera ni necesariamente la más importante. Se trata de un grupo de ciberdelincuentes que comenzó a operar en diciembre de 2021, cuando robaron buena parte de la base de datos del Ministerio de Sanidad de Brasil y ofrecieron un rescate por ello. Tras aquello, han dejado en evidencia la seguridad de compañías tecnológicas punteras como Nvidia, Apple o Microsoft. En el caso de la primera, consiguieron hacerse con un 'terabyte' de información, donde se incluía el código fuente de un algoritmo de 'deep learning' (DLSS), algo que dio pistas sobre la próxima Nintendo Switch.

Ahora, Uber los ha señalado como principales sospechosos del 'hackeo' masivo que sufrieron hace unos días y que permitió a los atacantes entrar hasta la cocina. En el comunicado, por cierto, también se hacen eco del rumor que atribuye a esta organización la autoría de la filtración de imágenes y vídeos del videojuego GTA VI, de Rockstar Games.

TE PUEDE INTERESAR

Doble robo de película a una web española: así se esfumaron 7,2 millones en criptos

Manuel Ángel Méndez

Una serie de hitos que han provocado, claro, que todos los ojos se pongan sobre ellos. Y eso, cuando se está al margen de la ley, no suele ser bueno. El pasado viernes, Scotland Yard detuvo a dos adolescentes de 16 y 17 años —ya en libertad bajo fianza— en el marco de una investigación internacional que empezó hace meses y en la que también está participando el FBI. También hay sospechas de que la base de operaciones del grupo está en Brasil o, al menos, América Latina, ya que algunos miembros serían originarios de allí y también han ido a objetivos como el 'marketplace' argentino Mercado Libre, muy popular en el continente.

"Nunca había oído hablar de nada de esto hasta hace poco. Nunca ha hablado de ningún hackeo, pero es muy bueno con los ordenadores y pasa mucho tiempo con ellos. Siempre pensé que estaba jugando", dijo el padre de uno de ellos en declaraciones a la BBC. Su hijo se hace llamar White o Breachbase, es el más pequeño de los dos y el cabecilla del grupo, según ha revelado Bloomberg. Después, algunos cibercriminales rivales revelaron algunos datos personales sobre este, como nombre, fotografías o información personal, como que es autista y va a una escuela de educación especial en Oxford. También que tendría cerca de 13 millones de euros acumulados en bitcoins.

Unos días antes, ya habían detenido a otros cinco supuestos miembros de entre 16 y 21 años de edad, que también fueron puestos en libertad. En Lapsus$, habían dicho inicialmente que algunos de sus miembros se habían tomado unas "vacaciones", pero luego salieron a desmentir que hubiera detenidos en la organización.

Sea como sea, el grupo ha seguido su curso. Esta semana, ya han atacado a Globant, un unicornio argentino con sede en Luxemburgo que hace labores de ingeniería de 'software' para las empresas más importantes del sector. Así, lanzaron otro archivo Torrent con 70 GB de información robada, como contraseñas o códigos fuente que habían desarrollado para clientes como Apple o Meta. Y no es la primera vez que estas dos firmas estaban en el blanco de Lapsus$.

Entre la picaresca y el amateurismo

Según fuentes de Bloomberg, uno de los fundadores de Lapsus$ estaría también detrás de la operación que consiguió hacerse con el nombre, correo y dirección IP de usuarios de Meta, Apple o Discord. Sin embargo, no lo consiguieron mediante ningún tipo de ciberataque, sino haciéndose pasar por la policía. Así, llevaron a cabo distintas solicitudes de información de emergencia —que no necesitan de orden judicial— desde cuentas de 'e-mail' oficiales a las que habían tenido acceso. Otro supuesto miembro también habría estado detrás del robo de 780 GB a Electronic Arts, el archiconocido estudio de videojuegos, el pasado verano.

Ricardo Sanz, jefe de Ciberseguridad de Evolutio, recalca que "utilizan el 'phishing' como técnica y el 'ransomware' como amenaza para infectar a sus víctimas". Una operativa que tienen "gracias a la cantidad de herramientas disponibles en la 'dark web' a un precio muy asequible". "Por ejemplo, para crear persistencia recurren a la compra de credenciales en foros clandestinos y hacen uso de Redline, que es un 'malware as a service', para el robo de contraseñas. Es decir, no desarrollan su propia amenaza con la que infectar a las víctimas", destaca.

TE PUEDE INTERESAR

Los 'combatientes' rusos que están llevando la invasión de Putin a la red

Mario Escribano

Tal y como ha explicado el medio especializado KrebsOnSecurity, "Lapsus$ ha estado reclutando a personas con información privilegiada a través de múltiples plataformas de medios sociales desde al menos noviembre de 2021", llegando a ofrecer salarios de 80.000 dólares al mes a empleados de operadoras como AT&T, T-Mobile o Verizon. Así, también habrían utilizado técnicas de 'SIM-swapping', que consisten en suplantar la identidad de una persona para duplicar su tarjeta telefónica y hacer operaciones con ella.

La suplantación de la cuenta de un proveedor también permitió que Lapsus$ entrara en las tripas de Okta, una de las firmas más importantes de autenticación en plataformas digitales. Aunque en un principio no comunicó el incidente, la compañía terminó reconociendo que 366 clientes se habían visto afectados (un 2,5% del total). Pero si alguien puede dar fe de estas suplantaciones es Microsoft. En su caso, le sustrajeron 37 GB de información, entre la que se incluye los códigos fuente del navegador Bing o de la asistente Cortana. De hecho, llegaron a entrar en reuniones internas, tal y como reconoció la propia compañía en un extenso 'post' en el que explicaba lo ocurrido: solo necesitaron tener acceso a la cuenta de un ingeniero. Aun así, pudieron limitar el efecto del ataque porque estaba siendo comentado públicamente en Telegram.

"Usan métodos relativamente sencillos, pero eficaces, alejados de la profesionalidad de algunos grupos de 'ransomware' que ya conocemos", comenta una fuente de una del sector, que prefiere hablar desde el anonimato. Aunque los ataques parecen tener claramente un origen económico, en otros casos "parecen simplemente demostraciones pueriles de poder, por el placer de atraer la atención". Por ejemplo, hicieron una ofensiva a la desarrolladora Ubisoft y únicamente consiguieron hacer tumbar sus servidores durante unas horas, pero se congratularon de ello con un emoji en Telegram.

Este especialista destaca que "juegan a ser mayores, pero con la falta de madurez necesaria para separar el negocio de la diversión". Seguramente, eso sea lo que les ha puesto al descubierto, pues "no escondían sus huellas o empleaban técnicas de andar por casa". La siguiente anécdota lo ilustra a la perfección: "Buscaban en Bing las herramientas necesarias para matar el proceso de un programa de seguridad una vez habían entrado en un ordenador. Sería como un ladrón que busca en la casa que está robando, con las luces encendidas, unas pilas para recargar su linterna que no ha previsto que se gastasen en ese momento. Eso sí, tras haber desactivado una alarma de última generación".