Dos graves ciberataques en un solo fin de semana desataron las sospechas sobre la vuelta a la actividad de un peligroso grupo de delincuentes. Tras pasar varios meses inactivo, los investigadores avisan de que existen “indicios” de que Lapsus$ retomó sus operaciones y está detrás de estas últimas ofensivas. Los hackeos comparten un mismo modus operandi y ponen sobre la mesa el regreso de una banda cibercriminal que provocó auténticos dolores de cabeza a los especialistas en ciberseguridad a comienzos de año.

La fama de Lapsus$ era merecida, ya que consiguió hackear a varias multinacionales que cuentan con equipos de primer nivel, como Microsoft. Se cree que el grupo está formado por adolescentes. La policía británica llegó a detener el pasado marzo a siete jóvenes por su supuesta vinculación con el grupo. A uno de ellos, que entonces contaba con 16 años, se le acusó de ser el líder de la banda. Quedó en libertad a las pocas horas y aunque Lapsus$ apenas ha actuado desde entonces, ellos, o alguien que sigue sus métodos, volvió a la acción.

La mayor filtración de un videojuego

Es el segundo de los ataques de este fin de semana el que hizo atar cabos a los investigadores. El domingo se publicó en Internet un enorme paquete de contenido del próximo videojuego de la saga Gran Theft Auto, el GTA VI. El título no se publicará hasta finales de 2023 o 2024, por lo que los 90 vídeos que salieron a la luz con la filtración masiva corrieron como la pólvora entre los incontables fans del juego, que lleva vendidas más de 165 millones de copias de su edición anterior.

“Hemos sufrido una intrusión en la que un tercero no autorizado accedió ilegalmente y descargó información confidencial”, reconoció este lunes Rockstar Games, la desarrolladora del juego. También lamentó que los fans hayan conocido las novedades del GTA VI por esta vía. Según lo que se aprecia en los vídeos, este incluirá a la primera mujer protagonista de la saga, que será de origen latinoamericano, mientras que el escenario de la narrativa será Vice City, una ciudad ficticia basada en Miami. La desarrolladora no quizo confirmar estos puntos y se esfuerza para retirar los vídeos de la red a través de reclamaciones de copyright.

El intruso o intrusos que filtraron los vídeos lograron acceso total a los archivos de Rockstar. Defienden que se llevaron también el código tanto del GTA VI como del VI. Pese a ello, la empresa afirma que no se produjo ningún ataque contra el juego que la fuerce a retrasar el lanzamiento. Sus sistemas informáticos tampoco sufrieron infección alguna.

Rockstar es uno de los gigantes de la industria y su empresa matriz tuvo un beneficio neto de casi 100 millones de dólares el año pasado. Sin embargo, el incidente no fue más allá de la filtración masiva. El hacker (o los hackers), simplemente, consiguió acceso total a su red, lo demostró colgando en foros los archivos del tan esperado juego y desapareció.

Era la segunda vez que ocurría algo similar en cuestión de días. El viernes Uber vio como alguien consiguió acceso a todos sus sistemas, colgó capturas de los paneles de administración y de sus datos financieros y se fue. La empresa dice que el ataque no tuvo otras consecuencias. “Hemos revisado nuestro código base y no hemos encontrado que el atacante haya realizado ningún cambio. Tampoco hemos encontrado que el atacante haya accedido a ningún dato de clientes o usuarios”, comunicó la empresa.

Antes de esfumarse, el atacante se puso en contacto con especialistas en ciberseguridad y con el New York Times para asegurarse que sus acciones no pasaban inadvertidas. Les dijo que tenía 18 años de edad.

Uber piensa que su hackeo y el de la filtración del GTA VI están relacionados. “Este fin de semana también se informó que este mismo actor atacó al fabricante de videojuegos Rockstar Games. Estamos en estrecha coordinación con el FBI”, explicó esta semana, junto con algunos hallazgos de su investigación: “Creemos que este atacante (o atacantes) está afiliado a un grupo de hackers llamado Lapsus$”.

Atacar sin forzar nada

Lapsus$ se hizo famoso por atacar a todas esas compañías sin utilizar la fuerza bruta, sino consiguiendo acceso a sus sistemas utilizando las credenciales de sus propios trabajadores. Para ello engañan a esos empleados o bien les ofrecen grandes sumas a cambio de sus contraseñas a través de la web oscura.

Con esta táctica hackearon a Microsoft, pero también a la red de comunicaciones de Portugal, a Samsung, Nvidia o Okta, entre otras multinacionales. Esta última, pese a ser la menos conocida, fue una de sus operaciones más críticas. Okta es una empresa que da servicio de identificación digital para empleados de otras compañías, por lo que entrar a sus sistemas suponía un atajo para penetrar en cientos de organizaciones.

El método de entrada coincide con el que se usó para atacar a Rockstar y a Uber. En ambos casos la vía de entrada ha sido Slack, el programa de comunicación interna que usan sus trabajadores. ¿Cuál era su objetivo? Quizá solo demostrar que habían entrado. “Nosotros los llamamos atacantes de acceso inicial”, explica Josep Albors, director de investigación de la firma de ciberseguridad ESET.

“Ellos se dedican a obtener acceso a la red interna de una empresa, muy grandes en este caso, y luego ya negociar con ese acceso. Pueden vendérselo a grupos que quieran desplegar ransomware por ejemplo (un tipo de ataque que cifra los archivos de la víctima para exigir un rescate por desbloquearlo), para robar información y venderla mejor al mejor postor...”, continúa el experto.

“Lo que hacen después de obtener el acceso es difícil de rastrear porque el tipo de acuerdos al que llegan después no se suelen publicitar, a no ser que ellos mismos quieran informar de ello porque beneficie a sus objetivos”, añade Albors.

El regreso de Lapsus$... o de sus fans

La supuesta edad de los atacantes, el método de entrada, la filtración de información comercial. Todos ellos son “indicios” que apuntan a un posible regreso de Lapsus$, aunque los especialistas advierten que también podrían ser imitadores del grupo.

“En el cibercrimen, el fenómeno de los imitadores ocurre constantemente”, dice Albors. “Aquí se están atribuyendo los ataques a Lapsus$ y es algo perfectamente factible, pero no debemos descartar la posibilidad de que haya grupos imitando estas actividades”.

La opción de que sea un segundo grupo que haya copiado el modus operandi de Lapsus$ quien esté detrás de las últimas ofensivas se ve reforzado por lo mediáticos que llegaron a ser estos ciberdelincuentes. Su fama y sus actividades les hicieron ganarse enemigos incluso entre otros grupos de criminales. Esto le convirtió en víctima de doxing, un ataque habitual entre hackers que se basa en la publicación de todos los datos de identidad, de contacto y de información comprometida de una persona.

Su detención llegó tras ese ataque, aunque la policía británica aseguró que seguía al joven desde antes de la publicación de sus datos personales.