quién es y cómo opera el grupo de ciberdelincuentes que atacó a Mercado Libre

Tras el ciberataque que sufrió Mercado Libre, la atención de los expertos en seguridad informática se centró en el grupo al que se le atribuye el golpe: “Resbalón$”una organización de ciberdelincuentes con mucho menos infraestructura que las grandes bandas internacionales, pero con suficiente poder de fuego para tener entre sus víctimas no solo a la empresa fundada por Marcos Galperín sino también a Samsung, Nvidia y Vodafone.

Sin embargo, a pesar de que muchos ven una clara conexión con America latina entre sus objetivos, otros corren el riesgo de que sea un equipo británicoo incluso un «Lobo solitario» que filtra datos sensibles de empresas gigantes para mostrar su enorme capacidad de perjudicar a los negocios.

Ahora bien, aunque es muy difícil saber con certeza de dónde son, ya que estas bandas operan de forma clandestina y suelen ser deliberadamente ambiguas en sus comunicaciones, resbalón$ Tiene algunas características que lo distinguen de otros grupos como Netwalker, REvil, Egregor o Everestque te permiten conocer un poco más sobre ellos.

Estos grandes nombres de los delincuentes tienen sus propios «ransomware», es decir, programas maliciosos -como los virus- que encriptan la información del usuario, de las empresas o incluso de los Estados (como sucedió con Migraciones en Argentina en 2020). Sin embargo, Lapsus$ no tiene este nivel de sofisticación. Y con muchos menos recursos puso contra las cuerdas a Mercado Libre, la empresa más importante de la Argentina de hoy.

Y van por más.

La encuesta Lapsus$ que desató el caos

Mercado Pago, también a la vista. Foto Maxi Falla

La pregunta que todos empezaron a hacerse tras el comunicado oficial de Mercado Libre fue quien los habia atacado. Pero a pesar de que el incidente de seguridad se conoció el lunes de la semana pasada, todo había comenzado la noche anterior: el domingo 6 de marzo ya había pistas.

Lapsus$ había publicado una encuesta en su cuenta de Telegram -un chat similar a WhatsApp que permite la creación de canales públicos- en la que llamaban a votar por su próxima víctima. ahí tienes más de 30 mil seguidores.

Tres empresas aparecieron en la lista: Vodafone (Telecomunicaciones, Reino Unido), Impreso (Medios de comunicación, Portugal), Mercado libre y Mercado Pago (ecommerce, medios de pago, Argentina). En la historia del grupo, se puede ver que entre sus ataques pasados ​​está, por ejemplo, Localiza, el servicio de alquiler de autos más grande de Brasil. Y varias de sus publicaciones aparecen en portugués.

Encuesta de Lapsus con sus víctimas.  foto telegrama

Encuesta de Lapsus con sus víctimas. foto telegrama

Sin embargo, lo que más llama la atención es, en primer lugar, que no parecen ser de Europa del Este: Los grupos de ciberdelincuentes suelen tener sus bases operativas en países como Rusia y Ucrania.

“Los países de Europa del Este, la antigua URSS y algunos países asiáticos siempre se han caracterizado por tener un alto nivel técnico en informática. El monto de las ganancias potenciales, la falta de legislación relacionada con el ciberdelito y la extradición forman un cóctel interesante que potencia la existencia de grupos criminales relacionados con el ciberdelito. malware [programa malicioso] y comisión de delitos conexos”, contextualiza Cristian Borghello, consultor y experto en seguridad informática.

Este grupo, en cambio, rompe con este patrón: no hay posts en cirílico ni referencias a Europa del Este. Por ello, y por sus objetivos, las primeras hipótesis giraron en torno a que pudieran ser latinoamericanos.

Quién es Lapsus$: las tres hipótesis

Vínculos con América Latina.  Pexels de fotos

Vínculos con América Latina. Pexels de fotos

Hay tres teorías sobre el origen de Lapsus$: la conexión latinoamericana, la conexión británica y la conexión del “lobo solitario”.

Sobre la primera: “Se cree que Lapsus$ es un grupo radicado en América Latina, que posiblemente opera desde Brasil, y que se ha cobrado importantes víctimas en las últimas semanas. Pero la realidad es que no se sabe exactamente cómo el grupo selecciona sus objetivos o penetra en sus redes, lo que sí se puede decir es que algunas de sus tácticas son bastante extrañas, como secuestrar la cuenta de Twitter de una empresa para decir que el presidente portugués había sido acusado de asesinato”, le explica a Clarín Brett Callow, experto en seguridad informática que trabaja en Emsisoft, una empresa dedicada a eliminar ransomware.

En realidad, la línea latinoamericana tiene poco sustentoa pesar de los indicios: “Es normal suponer que al haber empresas latinoamericanas involucradas en filtraciones de información, como Claro, Embratel y Mercado Libre, se piensa que el grupo es latino. Pero lo mismo ocurre con empresas de Asia como Samsung, de Estados Unidos como Nvidia o de Europa como Vodafone (Reino Unido) e Impresa (Portugal). Algunos de los mensajes escritos en español, portugués o inglés solo indican que un miembro del grupo maneja el idioma correspondiente”, advierte Clarín Borghello.

La segunda hipótesis es que se trata de un grupo británico. “Los informes de diciembre y enero (antes de las filtraciones) sugieren que al menos uno de los miembros podría ser inglés”, agrega el especialista.

Pero esta idea está ligada a una tercera, que podría ser la misma: podría ser una sola persona. “También se insinúa que el grupo no sería tal sino una sola persona e incluso podría ser un menor de edad. Esto no impide afirmar que lo que ha logrado el ‘grupo’ o una persona es importante desde el punto de vista de las filtraciones de datos recientes, la extorsión potencial y las ganancias financieras potenciales”, dice Borghello.

Cómo ataca Lapsus$ y cómo reclutan empleados deshonestos

El mensaje de Lapsus para reclutar personas para darles credenciales de acceso.  foto telegrama

El mensaje de Lapsus para reclutar personas para darles credenciales de acceso. foto telegrama

Una de las coincidencias de los expertos es que se trata de una banda con un bajo grado de sofisticación. Para empezar, porque no tienen Secuestro de datos desarrollado por sus propios programadores.

Así, para robar información, Lapsus$ apuesta por otra técnica: reclutar «información privilegiada», como se les conoce en el campo: empleados de las empresas que entregan su usuario y clave a los ciberdelincuentes, o información sensible, por sus propios medios.

Es decir, mientras las grandes mafias operan instalando este tipo de programas que cifran la información, Lapsus$ apuesta por la ingeniería social: encontrar un empleado resentido, un «activo» que, desde dentro de la empresa, entregar credenciales que aprovechan para cometer sus ilícitos.

Esto es, de hecho, la hipótesis utilizada en el caso de Mercado Libre.

“Declararon públicamente que están buscando IAB, es decir, ‘Brokers de Acceso Inicial’. Es una práctica mucho más habitual de lo que parece: la persona que vende acceso desde dentro de una empresa o institución. Esto se llama ‘poner un pie en la puerta’ (punto de apoyo inicial)”, explica a Clarín Mauro Eldritch, un informático que sigue de cerca la estructura de las bandas de ciberdelincuentes.

Marcos Galperín, fundador y director general de Mercado Libre.  Foto Clarín

Marcos Galperín, fundador y director general de Mercado Libre. Foto Clarín

Otro punto poco claro es si piden dinero a cambio de sus acciones. En el caso de Mercado Libre, esta información no salió a la luz y la empresa se mostró hermética a comentar. “No está confirmado que no se haya pedido dinero y aunque una de dichas empresas hubiera pagado es poco probable que alguien lo confirme. Precisamente el gran mercado del ransomware se basa en la ‘complicidad indirecta’ de la víctima para evitar la publicidad negativa y preservar su imagen y reputación”, analiza Borghello.

En este sentido, algunos apuestan a que Lapsus$ quiere presumir de su “poder asimétrico”: Demostrar cómo un elemento tan simple como un nombre de usuario y una contraseña proporcionados por un empleado puede generar una verdadera catástrofe empresarial.

“Se les pidió a Nvidia y Samsung haz todo tu conductores fuente abierta [es decir, que liberen patentes], a cambio de no filtrar toda la información. Se trata de enviar un mensaje. Para estos grupos, no todo el dinero del mundo se compara con hacer un gigante tecnológico hacer disponible toda su propiedad intelectual”, explica Clarín Eldritch.

De esta manera, con misterio y menos musculo Al igual que otras big bands, Lapsus$ logró convertirse en un verdadero dolor de cabeza para las empresas de hoy: “Esta situación movió mucho el avispero; las empresas afectadas no van a parar hasta que descubran al grupo detrás del ataque y tal como sucedió en el pasado con miembros de Anónimo (2011), Sabu/LulzSec (2014) o Wannacry (2017). Es probable que los perpetradores acaben desapareciendo por miedo a ser descubiertos, vendidos por sus cómplices o detenidos por la justicia”, concluye Borghello.

Mientras tanto, la cuenta atrás de la encuesta, en la que Mercado Libre se salvó de ser expuesto (aunque no infringido), finalizó el domingo de la semana pasada con Vodafone como ganador.

O mejor, perdedor.

"ganador vodafone", el mensaje final de la encuesta que publicaron para preguntar a quién filtrar.  foto telegrama

«Ganar Vodafone», el mensaje final de la encuesta que publicaron para preguntar a quién filtrar. foto telegrama