Lapsus$ compromete NVIDIA: 1TB de datos y 71,000 credenciales filtradas
  • ALCA
  • 16 de febrero, 2022
  • Ciberseguridad

Lapsus$ compromete NVIDIA: 1TB de datos y 71,000 credenciales filtradas

A finales de febrero, el grupo de extorsión Lapsus$ hizo público lo que sería el primer golpe grande de su trilogía de 2022: comprometió a NVIDIA, exfiltró aproximadamente 1TB de información, y publicó credenciales de cerca de 71,000 empleados y exempleados. Parte del material incluye certificados de firma de código (que se empezaron a usar para firmar malware), información sobre arquitecturas de chips, y datos internos de proyectos.

Y la demanda fue insólita: en lugar de pedir dinero, Lapsus$ exigió que NVIDIA libere el código fuente de los drivers de GPU y que elimine la limitación de minería de cripto en las RTX. Una demanda imposible de cumplir y, probablemente, sin intención de ser cumplida; el objetivo real es notoriedad y daño reputacional.

Para una empresa mexicana mediana, este caso es relevante por tres razones: primero, muestra que la extorsión moderna no siempre pide dinero, lo cual rompe muchos guiones de respuesta; segundo, deja ver el blast radius cuando se filtran certificados de firma; tercero, expone qué tan poco preparadas están las empresas grandes para extorsión pública en redes sociales.

Qué pasó (la versión operativa)

Aunque NVIDIA no ha publicado un postmortem completo, las piezas confirmadas son:

  • Lapsus$ obtuvo acceso a sistemas internos (probablemente vía credenciales compradas o ingeniería social, su patrón conocido).
  • Exfiltraron alrededor de 1TB de información: documentos internos, datos de empleados, source code parcial, certificados de firma de código.
  • Publicaron credenciales (hashes y algunos en claro) de aproximadamente 71,000 empleados y exempleados.
  • Iniciaron una negociación pública por Telegram, con encuestas a sus seguidores y demandas escalando.
  • NVIDIA confirmó intrusión pero negó que se hayan tocado sistemas de producción o datos de clientes finales.

El detalle más serio: certificados de firma de código de NVIDIA empezaron a aparecer firmando malware en cuestión de días. Esto significa que cualquier sistema que confíe en certificados NVIDIA para verificar drivers podría aceptar binarios maliciosos como legítimos.

Tres lecciones para empresas mexicanas medianas

1. La extorsión moderna no siempre pide rescate

El playbook clásico de respuesta a ransomware (decidir si pagas o no, restaurar de backup, declarar a aseguradora) no aplica cuando el atacante pide algo que no puedes dar. Lapsus$ pidió a NVIDIA liberar drivers como open source. Imposible. Eso significa que no había salida negociada: los datos se iban a publicar sí o sí.

Tu plan de respuesta a incidentes debería contemplar este escenario:

  • ¿Qué hacemos si el atacante pide algo no monetario (publicar disculpa, despedir a alguien, romper relación con un cliente)?
  • ¿Quién aprueba la comunicación pública en las primeras 12 horas?
  • ¿Tenemos servicios de monitoreo de menciones para saber qué está saliendo en redes en tiempo real?

2. La gestión de secretos y certificados es un punto único de fallo enorme

Cuando se filtra un certificado de firma de código, el daño es global y persistente. Software firmado con ese certificado se acepta como legítimo hasta que se revoque, y la revocación toma días o semanas porque depende de actualizaciones de listas en miles de endpoints.

Para tu empresa, las preguntas:

  • ¿Dónde viven tus certificados de firma (de código, de despliegue, de servicios)?
  • ¿Quién tiene acceso? ¿Ese acceso pasa por MFA fuerte?
  • ¿Están en HSM (Hardware Security Module) o en un archivo en un servidor?
  • ¿Tienes proceso documentado de revocación si se compromete uno?

Aplica también a llaves de API de proveedores cloud, llaves de firma de despliegues CI/CD, llaves de cifrado de bases de datos. Un secreto comprometido sin proceso de rotación es una bomba de tiempo.

3. La comunicación de crisis vive ahora en Telegram, no en sala de prensa

Lapsus$ no contactó a NVIDIA por correo. Operó la extorsión completa en un canal público de Telegram con miles de seguidores, incluyendo encuestas para decidir qué publicar primero. Esto cambia la naturaleza de la respuesta:

  • El equipo de comunicación tiene que estar al tanto antes de que pregunten los medios.
  • La narrativa en redes sociales se gana en horas, no en días.
  • Si no comunicas tú, comunica el atacante.

Plan de respuesta a extorsión pública

Para una empresa mediana mexicana, recomendamos tener documentado y ensayado:

Roles

  • Líder de incidente (típicamente CISO o equivalente): toma de decisiones técnicas.
  • Líder de comunicación: maneja prensa, redes, cliente.
  • Líder legal: análisis de obligaciones de notificación (clientes, autoridades, aseguradora).
  • Sponsor ejecutivo (CEO o COO): decisiones de negocio que no puede tomar el equipo de incidente.

Playbooks

  • Playbook A: extorsión con rescate monetario. Bien conocido. Pago vs no pago, comunicación, restauración.
  • Playbook B: extorsión con publicación inminente. Controlar qué se sabe, comunicar proactivamente a clientes afectados antes de que vean el dump.
  • Playbook C: extorsión con demanda no monetaria/imposible. Sin negociación, foco completo en contención de daño y comunicación.

Ensayos

Mínimo una vez al año, simulacro tabletop con el equipo directivo y técnico. La primera vez que ven el escenario no debe ser cuando es real.

Monitoreo

  • Menciones de la empresa en redes (incluido Telegram, Discord, foros oscuros).
  • Credenciales con dominio corporativo en filtraciones.
  • Certificados/llaves corporativas en repositorios públicos.

Qué hacer esta semana

Tres acciones concretas:

  1. Inventario de secretos críticos. Certificados, llaves de firma, llaves de cifrado, llaves de API con permisos elevados. Documentar dónde viven y quién accede.
  2. Revisar plan de IR. ¿Está actualizado? ¿Incluye escenarios de extorsión? ¿Está ensayado?
  3. Conversación con comunicación/marketing. Que sepan que existe el riesgo de incidente público y tengan playbook básico, no improvisación en el momento.

La lectura

NVIDIA es una empresa con presupuestos de seguridad de nueve cifras y aún así fue comprometida. El mensaje no es "si ellos cayeron, nosotros también caeremos sin remedio". Es "prepárate para cuando pase, porque la diferencia entre un incidente contenido y uno catastrófico está en lo que hiciste antes de que pasara".

Las empresas mexicanas medianas que dediquen Q1 a tener un IR plan ensayado, secretos bien gestionados y comunicación de crisis preparada van a estar en otro nivel cuando le toque a alguien de su sector.

¿Tu empresa tiene plan IR ensayado para extorsión? Hagamos assessment. En ALCA acompañamos a equipos de seguridad y dirección a preparar respuesta a incidentes con simulacros realistas. Conversemos sin costo.

Artículos relacionados

Survex: escaneo continuo de vulnerabilidades para equipos que ya están cansados del ruido

2 de mayo, 2026 Survex: escaneo continuo de vulnerabilidades para equipos que ya están cansados del ruido

Anatomía del compromise de Axios npm (mar 2026): lecciones de un supply chain attack que afectó a miles

1 de abril, 2026 Anatomía del compromise de Axios npm (mar 2026): lecciones de un supply chain attack que afectó a miles

RSAC 2026: por qué la conversación de ciberseguridad se mueve de prevención a resiliencia

25 de febrero, 2026 RSAC 2026: por qué la conversación de ciberseguridad se mueve de prevención a resiliencia