Cuando elDiario.es avanzó su primera detención, en marzo de 2022, aún no se podía citar su nombre o publicar detalles sobre su vida. El sospechoso de liderar el grupo Lapsus$, una de las bandas de ciberdelincuentes más activas y peligrosas en aquel momento, era un menor de solo 16 años. Ahora, ya cumplida la mayoría de edad, un tribunal de Londres dirimirá la implicación de Arion Kurtaj en los ciberataques contra Microsoft, Vodafone, Nvidia, Samsung, Uber, el Gobierno de Brasil o las desarrolladoras de videojuegos Ubisoft y Rockstar Games. No obstante, los jueces no declararán la inocencia o culpabilidad del joven, que fue declarado no apto para ser juzgado por motivos psiquiátricos.

Kurtaj es un joven residente en Oxford de ascendencia albana. Su actividad en las redes sociales mostraba su gran afición a la pesca, que compartía con su tío, así como algún tipo de neurodiversidad, que la BBC identificó más tarde con un trastorno del espectro autista. La fiscalía británica considera que él y otro joven de 17 años eran “actores clave” en Lapsus$. Se le imputan 12 delitos, entre ellos tres de chantaje, dos de fraude y seis de uso indebido de ordenadores, recoge la agencia Reuters.

La trayectoria de Lapsus$ fue meteórica y muy agresiva. Su primer ciberataque confirmado se produjo en diciembre de 2021 contra el Ministerio de Sanidad de Brasil, donde robaron 50 terabytes de información. Poco después, ya en enero de 2022, realizaron una ofensiva que se considera clave en las acciones posteriores del grupo al conseguir penetrar en Okta. Esta firma proporciona servicios de identificación digital a los empleados de otras empresas, las credenciales virtuales para que los sistemas informáticos de las multinacionales sepan quién puede acceder a qué.

Ya sea por la información obtenida de la propia Okta o de la experiencia obtenida del funcionamiento de sus llaves maestras digitales, Lapsus$ se especializó en entrar hasta la cocina de grandes empresas para, fingiendo ser sus propios empleados, sustraer sus archivos más sensibles. Es lo que hizo con Nvidia, el fabricante de las tarjetas gráficas más buscadas por los aficionados a los videojuegos y, ahora, por los desarrolladores de inteligencia artificial.

El ciberataque a Nvidia también dio otras pistas a los investigadores. Lapsus$ pidió dinero a cambio de no vender a terceros los datos robados, pero también hizo otra curiosa exigencia: que Nvidia volviera a configurar sus tarjetas gráficas para que fueran capaces de minar criptomonedas, algo que la compañía había bloqueado al comprobar que su buen rendimiento en esta materia había disparado su precio y las había hecho casi imposibles de conseguir para los consumidores.

El secreto de Lapsus$

Esa petición a Nvidia desató las dudas de los investigadores. Lapsus$ acumulaba ciberataques muy importantes, pero no era acorde con las prácticas de los ciberdelincuentes profesionales. Estos, por regla general, evitan colocarse en el foco y su principal objetivo es desaparecer tras cerrar el negocio, ya sea extorsionando a la víctima o subastando la información robada al mejor postor. Tras dar un buen golpe, también es habitual que desaparezcan o permanezcan inactivos un tiempo para evitar dejar pistas a las fuerzas de ciberseguridad.

Todo lo contrario de lo que hizo Lapsus, que en vez de ocultarse se fue directo contra los peces más gordos de la pecera. Atacó y robó a Microsoft, que cuenta con algunos de los mejores equipos de ciberseguridad del planeta. Filtró datos de nuevos dispositivos en los que Samsung estaba trabajando. Penetró en las redes de T-Mobile, participó en una gran oleada de ciberataques en Portugal, atacó a la tecnológica Globant, a Ubisoft, al portal de comercio electrónico argentino Mercado Libre. Todo ello en cuestión de un par de meses, llegando incluso a anunciar en redes sociales sus próximos ataques.

A los ciberdelincuentes no les conviene llamar la atención porque pueden convertirse en objetivo de otras bandas. Es lo que ocurrió con la avalancha de hackeos de Lapsus$ y con su supuesto líder, Arion Kurtaj, que acumulaba una fortuna de 10 millones de euros cuando fue detenido por primera vez con 16 años. El joven fue víctima de un ataque de doxing, que consiste en publicar en Internet una gran cantidad de información privada de una persona, como su nombre completo, dirección, documento de identidad, ocupación, fotografías, datos de su familia, etc. Es una maniobra habitual entre ciberdelincuentes, que protegen con celo su identidad.

El doxing contra Kurtaj llevó a su detención inmediata por parte de la policía británica, junto a otros seis jóvenes relacionados con las actividades de Lapsus$, varios de ellos menores de edad. Se revelaba así el secreto de Lapsus$, el grupo de adolescentes que había logrado hackear algunas de las multinacionales más importantes con un líder que operaba desde su habitación en casa de sus padres. Pero Kurtaj no había dicho su última palabra.

GTA VI: un último gran golpe

Lapsus$ se caracterizó por acceder a archivos confidenciales de empresas utilizando credenciales de sus propios trabajadores. Las conseguían extorsionando a esos empleados, comprándoselas por altas sumas, logrando acceder a sus cuentas mediante el timo de la SIM, hackeándoles sus cuentas de email o las de sus proveedores. Cualquier método que les llevara hasta esas llaves digitales les valía. En septiembre de 2022, menos de seis meses después de la detención de Kurtaj, Uber denunció haber sufrido otro ciberataque con estas mismas prácticas.

Había dos opciones. Es habitual que los ciberdelincuentes se copien las tácticas unos a otros cuando resultan exitosas, y las de Lapsus$ lo habían sido. La otra es que alguien del propio grupo hubiera vuelto a la acción. El dilema se resolvió poco después cuando Kurtaj, ya en solitario pero al más puro estilo que rigió a la banda, volvía a salir de caza mayor apenas unos días después con una gran filtración del videojuego GTA VI. Un título que promete miles de millones de euros de beneficios para su desarrolladora, Rockstar Games, pero del que Kurtaj presuntamente filtró un gran número de detalles años antes de su lanzamiento (que se espera para 2024 o 2025).

Se desconoce si el joven llegó a exigir algún pago a Rockstar antes de liberar la información sobre GTA VI, que se componía de más de 90 vídeos que mostraban tanto a sus protagonistas como el espacio donde se desarrollará la acción. Datos como estos se dirimirán en el juicio sobre sus acciones, en el que la policía británica también le acusa de haber accedido a sus sistemas tras su detención. Aunque no podrá se condenado, el proceso también ayudará a esclarecer la trayectoria del joven, uno de los pocos casos en los que el imaginario colectivo del hacker adolescente que se divierte burlando la seguridad informática mundial y la historia real encajan a la perfección.