LAPSUS$: Adolescentes vs BigTech con Social Engineering Extremo
Perfil de LAPSUS$ (DEV-0537/Octo Tempest): grupo de adolescentes que comprometió Microsoft, Nvidia, Samsung, Uber, Okta y Rockstar Games usando social engineering, SIM swapping y MFA fatigue. Sin malware, sin exploits.
LAPSUS$ demostró que social engineering puro puede comprometer las empresas más protegidas del mundo
LAPSUS$ es el caso más extremo de que la seguridad técnica es inútil si el factor humano falla. Un grupo de adolescentes, sin zero-days, sin malware custom, sin infraestructura sofisticada, comprometió Microsoft (código fuente de Bing, Cortana), Nvidia (certificados de firma, código fuente DLSS), Samsung (código fuente Galaxy), Uber (acceso interno total), Okta (proveedor de identidad de miles de empresas), y Rockstar Games (GTA VI footage). Todo con social engineering.
Ficha del grupo
| Campo | Detalle |
|---|---|
| MITRE ID | — (Microsoft: DEV-0537, luego parte de Octo Tempest) |
| Nombres | LAPSUS$, DEV-0537, parte del ecosistema Octo Tempest |
| Miembros conocidos | Arion Kurtaj (UK, "White/Breachbase"), otros en UK y Brasil |
| Edades | 16-21 años al momento de los ataques |
| Motivación | Fama, dinero (extorsión), diversión, data leaks |
| Activo | 2021-2022 (peak), arrestos 2022-2023 |
| Nivel | Tier 4 técnico, pero Tier 1 en social engineering |
| Sectores | Tech giants, telecom, gaming, identity providers |
Víctimas confirmadas
| Víctima | Fecha | Qué obtuvieron | Método de acceso |
|---|---|---|---|
| Nvidia | Feb 2022 | 1TB: código fuente, certificados de firma, credenciales | Insider access |
| Samsung | Mar 2022 | 190GB: código fuente Galaxy, algoritmos Knox | Insider/credential |
| Microsoft | Mar 2022 | 37GB: código fuente Bing, Cortana, Bing Maps | SIM swap → employee account |
| Okta | Mar 2022 | Screenshots internos, acceso admin parcial | Compromise de contratista (Sitel) |
| T-Mobile | Mar 2022 | Código fuente, herramientas internas | SIM swap |
| Uber | Sep 2022 | Acceso total: Slack, HackerOne, dashboards internos | MFA fatigue + vishing |
| Rockstar Games | Sep 2022 | 90+ videos de GTA VI en desarrollo | Social engineering |
| Globant | Mar 2022 | 70GB: código fuente, credenciales de clientes | Credential theft |
| Vodafone | Mar 2022 | Anuncio de 200GB de código fuente | Credential theft |
| Mercado Libre | Mar 2022 | 300K registros de usuarios | Credential theft |
Técnicas: no malware, no exploits
SIM Swapping
1. LAPSUS$ obtiene nombre y número de teléfono del empleado
2. Llama al operador telecom (T-Mobile, Verizon) haciéndose pasar por el empleado
3. Convence al agente de transferir el número a una SIM controlada por LAPSUS$
4. Ahora recibe los SMS de MFA del empleado
5. Login con credenciales robadas + MFA SMS interceptado
6. Acceso al entorno corporativo como el empleado
MFA Fatigue (Push Bombing)
Caso Uber (septiembre 2022):
1. LAPSUS$ obtiene credenciales de un empleado (marketplace de credenciales)
2. Intenta login → prompt de MFA push al teléfono del empleado
3. Empleado rechaza → LAPSUS$ intenta de nuevo
4. Repite 100+ veces durante horas (2 AM)
5. Además, contacta al empleado por WhatsApp haciéndose pasar por IT:
"Soy del soporte de IT, necesito que aceptes el push para resolver un problema"
6. Empleado acepta el push para que pare el spam
7. LAPSUS$ accede → Slack, HackerOne, AWS, GDrive internos
Insider Recruitment/Bribery
LAPSUS$ publicaba en Telegram:
"Buscamos insiders en [empresa]. Pagamos $20.000 por credenciales VPN.
Empleados de telecom, tech, gaming: contactar @[handle]"
Confirmado que pagaron a insiders/contratistas de:
- Telecom companies (para SIM swaps facilitados)
- Proveedores de outsourcing (Sitel → Okta access)
- Empleados directos de algunas víctimas
Vishing (Voice Phishing)
Llamadas al helpdesk de la empresa:
"Hola, soy [nombre empleado], trabajo en [departamento].
He perdido mi teléfono y no puedo acceder a MFA.
¿Pueden hacer un reset temporal para que pueda trabajar?"
Muchos helpdesks resetean MFA con verificación mínima.
Técnicas ATT&CK (adaptadas)
| Táctica | Técnica | ID | Uso LAPSUS$ |
|---|---|---|---|
| Reconnaissance | Gather Victim Identity | T1589 | LinkedIn, data breaches, OSINT |
| Resource Development | Obtain Capabilities | T1588 | Comprar credenciales en marketplaces |
| Initial Access | Valid Accounts | T1078 | Credenciales compradas/robadas |
| Initial Access | Phishing: Voice | T1566.004 | Vishing a helpdesks |
| Credential Access | MFA Interception | — | SIM swap para capturar SMS MFA |
| Credential Access | MFA Fatigue | — | Push bombing hasta aceptación |
| Persistence | Account Manipulation | T1098 | Añadir su propio MFA device |
| Collection | Data from Cloud Storage | T1530 | Acceso a repos, SharePoint, GDrive |
| Exfiltration | Exfiltration to Cloud | T1567 | Descarga masiva de código fuente |
| Impact | Defacement | T1491 | Publicar leaks en Telegram |
Lecciones para defensores
Lo que falló
- MFA basado en SMS: SIM swappable, no resistente a social engineering
- MFA push sin context: push notifications sin mostrar qué se está autenticando
- Helpdesk sin verificación fuerte: resetear MFA por teléfono sin verificación multi-factor
- Credenciales en marketplaces: info stealers generan credenciales que se venden por $10
- Acceso excesivo: un solo empleado con acceso a repos de código fuente de toda la empresa
- Insider threat: no hay defensa técnica contra un empleado que vende credenciales
Contramedidas post-LAPSUS$
| Problema | Solución |
|---|---|
| SIM swap para SMS MFA | Migrar a FIDO2/WebAuthn (hardware keys, no SMS) |
| MFA fatigue/push bombing | Number matching en MFA push (usuario debe escribir número) |
| Helpdesk social engineering | Verificación out-of-band (video call, manager approval) |
| Insider bribery | Least privilege + monitoring de acceso anómalo |
| Credenciales en marketplaces | Credential monitoring + MFA everywhere |
| Acceso excesivo | Zero Trust + JIT (Just-in-Time) access |
Impacto en la industria
LAPSUS$ provocó cambios concretos:
- Microsoft: implementó number matching en Authenticator
- Okta: reforzó procesos de verificación de helpdesk
- Industry: aceleración de adopción de FIDO2/passkeys
- CISA: advisories específicos sobre MFA fatigue y SIM swap
Conclusión
LAPSUS$ es la prueba de que la seguridad perimetral es irrelevante si un adolescente puede llamar a tu helpdesk y resetear MFA. Sus técnicas (SIM swap, MFA fatigue, insider bribery, vishing) no requieren sofisticación técnica pero son devastadoramente efectivas. La herencia de LAPSUS$ vive en Scattered Spider, que usa las mismas técnicas pero con mayor organización.
Fuentes y referencias
- Microsoft: "DEV-0537 Criminal Actor Targeting Organizations" (2022)
- Krebs on Security: "A Closer Look at the LAPSUS$ Data Extortion Group" (2022)
- BBC: "Lapsus$ teen hackers convicted" (2023)
- CISA: "Implementing Phishing-Resistant MFA" (2022)
- Uber: "Security Update" incident report (2022)
Preguntas frecuentes
Artículos relacionados
Scattered Spider: Social Engineering, SIM Swapping y Ransomware-as-a-Service
FIN7 (Carbanak): Cibercrimen Financiero Sofisticado
Qué es un APT: Taxonomía, Motivaciones y Patrones Operativos
Atribución y Niveles de Confianza: Framework para Analistas CTI
Automatización de Recolección CTI: n8n, MISP y TheHive Cortex
CTI para CISO: Traducir Inteligencia Técnica a Decisiones de Negocio
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.