Quién es Lapsus$, los ciberdelincuentes que han filtrado código de Microsoft, temible por su 'modus operandi': también compran claves a empleados de sus víctimas

La figura de un hacker o un ciberdelincuente.

REUTERS/Kacper Pempel

En el ámbito de la ciberdelincuencia, 2020 y 2021 tuvo un nombre propio. REvil era un colectivo de cibercriminales especializados en atacar con ransomware, una de las técnicas más populares y que consiste en inocular un código malicioso a sus víctimas para cifrar sus archivos y sistemas y obligarles a pagar un rescate económico si quieren recobrar la normalidad.

REvil estuvo detrás de un ciberataque a un prestigioso despacho de abogados estadounidense que asesoró a celebridades como Madonna o al propio expresidente Donald Trump. También impactaron sobre un sinfín de compañías, pero su perdición fue atacar a Colonial Pipelines, la firma responsable de un oleoducto que se vio obligada a paralizar operaciones durante días por el incidente.

Aquel ataque provocó problemas de suministros de carburante en partes de EEUU. El presidente Joe Biden decretó el estado de alarma y el FBI se puso manos a la obra. Desde entonces, la potencia norteamericana ha mantenido cumbres internacionales con varios estados (aunque nunca ha invitado a España) para tratar la problemática del ransomare.

El FBI accede al criptomonedero de los ciberdelincuentes que bloquearon el oleoducto de Colonial en EEUU y recuperan parte del rescate pagado

REvil acabó siendo desmantelada a pesar de que llegaron a demostrar su solvencia depositando un millón de euros en un foro para garantizar su capacidad para contratar a más especialistas.

Pero en 2022 el nombre propio es otro. El nombre propio es Lapsus$. Así es como se da a conocer este grupo de criminales informáticos que en cuestión de semanas ha logrado horadar las defensas informáticas de multinacionales de la talla de Samsung, Ubisoft o la mismísima Microsoft, que ha reconocido haberse visto afectada por uno de sus ataques esta misma semana.

Lapsus$, por ejemplo, es el mismo colectivo que afectó a la multinacional de tarjetas gráficas Nvidia hace unos días, a la que exigió un rescate de lo más singular si quería recobrar la normalidad. No bastaba con dinero: Nvidia se tenía que comprometer a retirar una funcionalidad en los últimos modelos de sus tarjetas que afectaba al rendimiento del hardware cuando un algoritmo detectaba que la tarjeta se estaba empleando para minar criptomonedas.

Ahora con Microsoft, los especialistas de Lapsus$ han conseguido filtrar buena parte del código fuente de su motor de búsqueda, Bing, y de su asistente de voz, Cortana.

Además, este grupo reivindica sus fechorías en un canal de Telegram. Hasta la fecha, muchos de estas organizaciones de criminales informáticos construían sus propios sitios en la dark web, lejos de la vista del usuario común. Pero la acción de las autoridades de diversos países a raíz del ataque a Colonial el año pasado ha provocado que este tipo de páginas se vean derribadas constantemente.

No ocurre lo mismo en Telegram. La aplicación de mensajería fundada por Pavel Durov está aguantando incluso los envites de la guerra en el este de Europa. Solo ha cedido a cuestiones muy concretas a instancias de la Unión Europea, como es retirarle sus canales a medios de comunicación públicos rusos acusados de trasladar desinformación a Occidente.

Una de las últimas víctimas de Lapsus$ ha sido toda una multinacional como Microsoft. Ha sido la propia tecnológica la que lo ha confirmado mediante un comunicado en el que se refiere a este colectivo bajo el código genérico de DEV-0537.

Lapsus$, especialistas de habla lusa

Si por algo ha sido conocida Rusia es por ser cuna de muchos de estos colectivos de ciberdelincuencia. La mayoría de amenazas persistentes avanzadas (APT, por sus siglas en inglés: es el término con el que la industria de la ciberseguridad se refiere a colectivos de especialistas informáticos patrocinados por un país o un gobierno) proceden de allí, de China, o de Corea del Norte.

En el caso de Lapsus$, se da la particularidad de que sus primeros objetivos han sido conglomeraciones de medios e incluso administraciones de habla lusa. Su base de operaciones podría estar en Brasil o en la Península Ibérica. Según The Record, los primeros objetivos fueron precisamente medios de comunicación portugueses.

De hecho, para llamar la atención de sus víctimas, los atacantes secuestraron la cuenta de Twitter del periódico portugués Expresso y tuitearon "Lapsus$ es el nuevo presidente de Portugal", destacaVenafi.

El "fallo de mercado" que explica por qué los problemas de ciberseguridad irán a más a pesar de que la inversión y la concienciación crezcan: "Difícilmente se puede seguir este ritmo"

Los siguientes objetivos de la banda les llevaron a Brasil, donde atacaron al Ministerio de Sanidad de aquel país y al operador de telecomunicaciones Claro. Lapsus$ aseguró destruir incluso los datos que permitían a la administración brasileña generar sus propios certificados de vacunación.

Otra singularidad de Lapsus$ es la relación que tiene con su comunidad de seguidores. En su canal de Telegram reúne a una audiencia de más de 44.000 usuarios. El colectivo ha logrado labrarse una reputación realizando incluso encuestas sobre cuáles serán sus siguientes objetivos. Y este miércoles sorprendían a todos con un mensaje del siguiente tenor literal:

"Algunos de nuestros miembros estarán de vacaciones hasta el 30 de marzo de 2022. Estaremos en silencio algunas ocasiones. Gracias por vuestra comprensión. Trataremos de filtrar cosas tan pronto como sea posible".

Por qué son más peligrosos que el resto de colectivos

Microsoft ha sido la última víctima de este colectivo. Okta, una firma estadounidense especializada en gestión de accesos de usuario, rechaza haberse visto afectada por un ciberataque de Lapsus$. Pero el colectivo defiende "disfrutar" de las "mentiras" de la compañía y la anima a publicar un informe de una auditoría externa.

Pero la multinacional tecnológica de Seattle, que ha visto cómo se ha filtrado buena parte del código fuente de productos tan prestigiosos como Bing y Cortana, ha sido más transparente sobre lo que ha sucedido. Y para tranquilizar a accionistas y usuarios, la firma ha asegurado que Microsoft "no confía en el secretismo de código como una medida de seguridad".

Cebos en portales inmobiliarios, préstamos falsos y reventas en plataformas de segunda mano: así se estafan más de 2 millones de euros sin levantarse del ordenador

"Esta semana el actor —en referencia a Lapsus$— ha reivindicado un acceso a Microsoft y una filtración de partes de nuestro código fuente. Ni datos de clientes ni código de clientes se han visto afectados por las actividades analizadas. Nuestra investigación ha detectado que una cuenta de acceso limitado se vio comprometida. Nuestro equipo de respuesta a incidentes de ciberseguridad ya ha intervenido".

Microsoft destaca en su análisis que entre los primeros objetivos de Lapsus$, además de firmas en Portugal y Brasil, también se detectaron ataques contra compañías en Reino Unido. Lo que hace a esta banda más peligrosa que sus antecesoras es que utilizan prácticas poco extendidas entre otros colectivos del cibercrimen.

De hecho, no utilizan programas de ransomware que han hecho famosos a otros colectivos.

"Como hace la mayoría de colectivos que tenemos bajo el radar, DEV-0537 [Lapsus$] no parece borrar sus huellas. De hecho, van más allá y anuncian sus ataques en redes sociales e incluso anuncian sus intentos de comprar contraseñas de empleados en las empresas a las que pretenden atacar", explica la tecnológica.

Microsoft incide en que este grupo "usa tácticas que no son muy frecuentes en otras bandas, como ingeniería social mediante llamadas telefónicas, suplantaciones de tarjeta SIM, pagan a empleados e incluso a proveedores".

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.