Lapsus$: los adolescentes que hackearon a Uber y Samsung

El titular

En los primeros meses de 2022, un grupo llamado Lapsus$ irrumpió en la escena del cibercrimen con una serie de hackeos que dejó a la industria incrédula: Microsoft, Samsung, Nvidia, Vodafone, Ubisoft, T-Mobile, Okta, Uber. Empresas con presupuestos de seguridad de cientos de millones de dólares, comprometidas una tras otra.

Lo más sorprendente: los atacantes eran adolescentes. El líder tenía 16 años. Y no usaban exploits sofisticados ni malware avanzado. Usaban ingeniería social, SIM swapping y la compra de credenciales de empleados corruptos.

Las víctimas

Nvidia (febrero 2022)

Robaron 1TB de datos incluyendo código fuente de drivers, herramientas internas y credenciales de empleados. Publicaron certificados de code signing que otros actores usaron posteriormente para firmar malware.

Samsung (marzo 2022)

190GB de código fuente filtrado, incluyendo código de TrustZone (enclave seguro de los procesadores Exynos), algoritmos biométricos y código del bootloader.

Microsoft (marzo 2022)

37GB de código fuente parcial de Bing, Cortana y otros proyectos. Microsoft confirmó el compromiso y publicó un informe detallado sobre las técnicas de Lapsus$.

Okta (marzo 2022)

Comprometieron a un ingeniero de soporte de Sitel (subcontratista de Okta). Accedieron al panel de soporte de Okta, potencialmente afectando a 366 clientes de Okta. El incidente fue particularmente grave porque Okta es un proveedor de identidad: hackear Okta es hackear la autenticación de sus clientes.

Uber (septiembre 2022)

Un miembro de Lapsus$ compró credenciales de un contratista de Uber en la dark web, luego usó MFA fatigue (enviar notificaciones push repetidamente hasta que la víctima acepta por agotamiento) para bypasear la autenticación. Una vez dentro, accedió a Slack, HackerOne (reportes de vulnerabilidades) y sistemas internos. Publicó mensajes en el Slack de Uber anunciando el hackeo.

Cómo lo hacían

Técnicas principales

1. SIM swapping Sobornar o engañar a empleados de telecomunicaciones para transferir el número de teléfono de la víctima a una SIM controlada por Lapsus$. Con el número, interceptaban SMS de MFA y reseteaban contraseñas.

2. Compra de credenciales Lapsus$ publicaba en Telegram ofertas de compra: "Pagamos a empleados de X empresa por acceso VPN". Empleados insatisfechos o codiciosos proporcionaban credenciales a cambio de pagos en criptomonedas.

3. Ingeniería social a helpdesks Llamar al helpdesk de la empresa objetivo haciéndose pasar por un empleado que perdió su laptop o olvidó su contraseña. Los helpdesks, presionados por SLAs de respuesta rápida, a veces reseteaban credenciales sin verificación adecuada.

4. MFA fatigue Enviar decenas de notificaciones push de MFA al teléfono de la víctima a las 3am. Eventualmente, la víctima acepta la notificación para que deje de molestar. Técnica documentada en el hackeo de Uber.

5. Repositorios de código internos Una vez dentro, Lapsus$ buscaba repositorios de código fuente (GitLab, GitHub Enterprise, Azure DevOps). El código fuente era su objetivo principal: no cifraban ni extorsionaban con ransomware. Robaban y filtraban.

Lo que NO usaban

• No usaban zero-day exploits
• No usaban malware sofisticado
• No usaban técnicas de evasión de EDR
• No tenían infraestructura C2 compleja

Su arsenal era: teléfono, Telegram, criptomonedas y audacia.

Los arrestos

Arion Kurtaj (UK)

En marzo 2022, la policía de la City of London arrestó a 7 personas relacionadas con Lapsus$. El principal: Arion Kurtaj, un adolescente británico. Fue puesto en libertad bajo fianza.

Mientras estaba bajo fianza en un hotel Travelodge con vigilancia policial, Kurtaj usó un Amazon Fire Stick, un teléfono y un teclado Bluetooth para hackear Uber y Rockstar Games (filtrando gameplay de GTA 6). Todo desde la habitación de hotel donde estaba custodiado.

En agosto 2023, un jurado determinó que Kurtaj cometió los hackeos pero no podía ser declarado culpable de la forma habitual debido a su autismo severo. En diciembre 2023, fue sentenciado a internamiento indefinido en un hospital seguro.

Otros miembros

• Varios miembros adolescentes en UK y Brasil
• Conexiones con el grupo "The Com" (comunidad de SIM swappers)
• La edad media del grupo era 16-18 años

Las lecciones

1. La ingeniería social supera a la tecnología

Empresas con SOCs de 100 personas y presupuestos de millones fueron hackeadas por adolescentes con teléfonos. MFA, EDR y firewalls no sirven si el helpdesk resetea credenciales por teléfono.

2. MFA no es infalible

SIM swapping bypasea MFA por SMS. MFA fatigue bypasea notificaciones push. Las organizaciones necesitan MFA resistente a phishing (FIDO2/WebAuthn, hardware keys) no solo "algún tipo de MFA".

3. Los insiders son un vector real

Lapsus$ pagaba a empleados por acceso. El insider threat no es solo espionaje de estado: es un adolescente en Telegram ofreciendo 20,000 USD por un login de VPN.

4. La edad no predice la capacidad

Adolescentes de 16 años comprometieron a Microsoft, Samsung y Uber. La sofisticación técnica no se mide en años de experiencia sino en creatividad y determinación.

Estado actual

Lapsus$: inactivo como grupo. Kurtaj: internamiento indefinido en hospital seguro. El legado: cada empresa que reforzó su helpdesk, implementó MFA resistente a phishing o restringió acceso a repos de código fuente lo hizo en parte por Lapsus$. Demostraron que el eslabón más débil no es la tecnología: son las personas.