LAPSUS$: Los Adolescentes que Hackearon Uber, Okta y Samsung

Adolescentes contra las Big Tech

Entre finales de 2021 y septiembre de 2022, un grupo de hackers causó más vergüenza a las mayores empresas tecnológicas del mundo que la mayoría de grupos APT estatales. Su nombre: LAPSUS$. Sus miembros: en su mayoría adolescentes. Sus herramientas: no exploits zero-day ni malware sofisticado, sino ingeniería social, sobornos y una descaro absoluto.

La lista de víctimas de LAPSUS$ lee como un quién es quién de la industria tecnológica: Microsoft, Samsung, Nvidia, Uber, Okta, Rockstar Games, T-Mobile. Cada ataque era seguido de publicaciones provocativas en Telegram, filtraciones masivas de código fuente, y burlas a las víctimas y a las fuerzas del orden.

Y el líder del grupo, Arion Kurtaj, tenía 17 años cuando empezó.

Origen y modus operandi

Los inicios (2021)

LAPSUS$ apareció públicamente en diciembre de 2021 con un ataque al Ministerio de Salud de Brasil, donde robaron y borraron datos de vacunación COVID. Pero el grupo tenía antecedentes: varios miembros habían estado activos en comunidades de SIM swapping y venta de credenciales antes de formar LAPSUS$.

La fórmula: ingeniería social pura

Lo que hizo a LAPSUS$ único (y particularmente humillante para sus víctimas) fue que no necesitaban exploits sofisticados. Su arsenal consistía en:

SIM swapping. Convencían o sobornaban a empleados de telecomunicaciones para transferir el número de teléfono de la víctima a una SIM controlada por LAPSUS$. Esto les permitía interceptar códigos SMS de autenticación de dos factores.

Soborno de insiders. LAPSUS$ reclutaba activamente a empleados de empresas objetivo. Publicaban mensajes en Telegram ofreciendo dinero a empleados de telecomunicaciones, soporte técnico y help desk. "¿Trabajas en [empresa]? Contacta con nosotros para una oferta lucrativa."

MFA fatigue (bomba de notificaciones). Cuando tenían credenciales de un empleado pero necesitaban pasar la autenticación multifactor, enviaban decenas de notificaciones push de autenticación al teléfono del empleado. A las 2 de la mañana. Repetidamente. Hasta que el empleado, exhausto y confundido, aceptaba una notificación para que dejaran de molestar.

Búsqueda en repositorios internos. Una vez dentro de la red corporativa, LAPSUS$ buscaba en Confluence, SharePoint, repositorios Git y sistemas de tickets internos credenciales, tokens y accesos a otros sistemas. Muchas empresas almacenaban secretos en documentos internos accesibles.

Ingeniería social al help desk. Llamaban al soporte técnico de la empresa haciéndose pasar por empleados que habían perdido acceso a su cuenta, consiguiendo resets de contraseñas y adiciones de dispositivos MFA.

La cadena de ataques: el recorrido

Nvidia (febrero 2022)

LAPSUS$ afirmó haber robado 1 TB de datos de Nvidia, incluyendo esquemas de hardware, código fuente de drivers y credenciales de empleados. Publicaron certificados de firma de código de Nvidia, que podían usarse para firmar malware haciéndolo parecer software legítimo de Nvidia.

En un giro surrealista, intentaron extorsionar a Nvidia exigiendo que hicieran open source sus drivers de GPU. Nvidia se negó.

Samsung (marzo 2022)

190 GB de código fuente filtrado, incluyendo código de los dispositivos Galaxy, algoritmos de desbloqueo biométrico y código fuente de Qualcomm. Fue una de las filtraciones de código fuente más grandes de la historia de Samsung.

Microsoft (marzo 2022)

LAPSUS$ publicó 37 GB de código fuente de Microsoft, incluyendo código de Bing, Cortana y Bing Maps. El 90% del código fuente de Bing y aproximadamente el 45% del código de Bing Maps fueron filtrados.

Microsoft confirmó el compromiso pero afirmó que "no se comprometió código de clientes ni datos de clientes". La compañía reconoció que un empleado fue comprometido y que LAPSUS$ había obtenido acceso limitado.

Okta (marzo 2022)

Este fue quizás el ataque más significativo por sus implicaciones en cascada. Okta es un proveedor de identidad y autenticación utilizado por miles de empresas. LAPSUS$ comprometió la cuenta de un ingeniero de soporte de Sitel (subcontratista de Okta) y obtuvo acceso al panel de administración de Okta.

Esto significaba que LAPSUS$ potencialmente tenía acceso a los sistemas de autenticación de los clientes de Okta. Okta inicialmente minimizó el incidente, afirmando que "solo el 2,5% de los clientes" (aproximadamente 375 empresas) podrían haber sido afectados. La gestión de la crisis fue criticada por la comunidad de seguridad.

Uber (septiembre 2022)

El ataque a Uber fue emblemático de la técnica de MFA fatigue. Un afiliado de LAPSUS$ (identificado como "teapotuberhacker"):

1. Compró credenciales de un empleado de Uber en un mercado de la dark web
2. Envió repetidas notificaciones push de MFA al empleado hasta que aceptó una
3. Una vez dentro, encontró un script de PowerShell en un share interno que contenía credenciales de administrador para Thycotic (el sistema de gestión de acceso privilegiado de Uber)
4. Con esas credenciales, obtuvo acceso a prácticamente todos los sistemas internos de Uber

El atacante publicó un mensaje en el canal de Slack de Uber anunciando "I am a hacker and Uber has suffered a data breach" y compartió capturas de pantalla de los paneles internos de Uber, incluyendo sistemas financieros, programas de bug bounty y el dashboard de conductores.

Rockstar Games (septiembre 2022)

El mismo atacante que comprometió a Uber filtró 90 videos del desarrollo de GTA VI, uno de los juegos más esperados de la historia. Los videos mostraban gameplay temprano del juego en desarrollo. Take-Two Interactive (empresa matriz de Rockstar) confirmó la brecha.

La filtración de GTA VI fue probablemente la más mediática de todas las acciones de LAPSUS$, dado el interés masivo del público general en el juego.

Los arrestos

La policía de la City of London

En marzo de 2022, la policía de la City of London anunció el arresto de siete personas en relación con LAPSUS$, con edades entre 16 y 21 años. Entre ellos estaba Arion Kurtaj, entonces de 17 años, de Oxford.

Kurtaj fue puesto en libertad bajo fianza. Mientras esperaba juicio, desde un hotel de Travelodge donde estaba bajo protección policial (por amenazas recibidas de otros cibercriminales), y usando un Amazon Fire Stick conectado al televisor del hotel, hackeó a Rockstar Games y filtró los videos de GTA VI.

La policía le había confiscado su ordenador y su teléfono. Usó un televisor y un dispositivo de streaming.

El juicio

Arion Kurtaj fue declarado no apto para juicio por un jurado debido a su condición de autismo severo. No podía entender los procedimientos legales ni participar en su propia defensa. Sin embargo, el jurado determinó que había cometido los actos de los que se le acusaba.

En diciembre de 2023, Kurtaj fue sentenciado a una orden de internamiento indefinido en un hospital seguro. El juez determinó que representaba un riesgo continuo para el público.

Otro miembro del grupo, un joven de 17 años de Oxford, recibió una orden de rehabilitación juvenil de 18 meses.

Otros arrestos

En octubre de 2022, la policía federal brasileña arrestó a un adolescente sospechoso de ser miembro de LAPSUS$. Otros individuos vinculados al grupo fueron investigados en múltiples países.

Impacto y lecciones

La ingeniería social es la mayor amenaza

LAPSUS$ demostró que las defensas técnicas más sofisticadas son inútiles si un empleado puede ser engañado, sobornado o agotado hasta aceptar una notificación MFA. La seguridad humana es el eslabón más débil.

MFA no es infalible

El ataque de MFA fatigue contra Uber popularizó la conciencia de que no todos los métodos MFA son iguales. Las notificaciones push simples son vulnerables a fatigue attacks. Los métodos resistentes a phishing (FIDO2/WebAuthn, claves de hardware) son significativamente más seguros.

Tras los ataques de LAPSUS$, Microsoft, Okta y otras empresas implementaron protecciones contra MFA fatigue (number matching, context awareness, límites de intentos).

Los insiders son un vector real

LAPSUS$ reclutaba activamente a empleados. Esto forzó a las empresas a replantear sus programas de detección de amenazas internas (insider threat programs) y a prestar más atención al riesgo de soborno de empleados con acceso a sistemas críticos.

Las credenciales en repositorios internos son una mina de oro

El hecho de que LAPSUS$ encontrara credenciales de administrador en scripts de PowerShell y documentos de Confluence dentro de las redes de sus víctimas indica un problema sistémico de gestión de secretos.

La edad no correlaciona con la capacidad

Adolescentes con conocimientos de ingeniería social y motivación (fama, dinero, diversión) pudieron comprometer a las empresas tecnológicas más grandes del mundo. Esto tiene implicaciones para la defensa, la persecución legal y la prevención.

Estado actual (2026)

El grupo

LAPSUS$ como grupo organizado dejó de operar tras los arrestos de 2022. No ha habido actividad confirmada del grupo desde entonces.

Arion Kurtaj

Sigue internado en un hospital seguro. Su caso ha generado debate sobre cómo el sistema judicial trata a menores neurodivergentes con capacidades técnicas excepcionales.

El legado técnico

Los ataques de LAPSUS$ aceleraron cambios significativos en la industria:

• Adopción masiva de autenticación resistente a phishing (FIDO2)
• Protecciones contra MFA fatigue en los principales proveedores de identidad
• Mayor inversión en programas de detección de amenazas internas
• Auditorías de secretos en repositorios internos

Recursos y referencias

• Microsoft Threat Intelligence (marzo 2022): "DEV-0537 criminal actor targeting organizations for data exfiltration and destruction"
• Okta Blog (marzo 2022): "Updated Okta Statement on LAPSUS$"
• Uber Newsroom (septiembre 2022): "Security update" (confirmación del compromiso)
• City of London Police (marzo 2022): Comunicado sobre arrestos
• BBC News (diciembre 2023): "GTA 6 and Uber hacker sentenced to indefinite hospital order"
• CISA Advisory (agosto 2023): "Threat Actors Exploiting Social Engineering Techniques Against IT Help Desks"
• MITRE ATT&CK: Group G1004 (LAPSUS$)