Lapsus$ y la nueva ola de ataques por ingeniería social: cómo proteger credenciales en 2022

Mientras los CISOs gastan horas planeando defensas contra APTs estatales con malware sofisticado, hay un grupo de adolescentes que lleva meses comprometiendo a algunas de las empresas tech más valiosas del mundo sin escribir una línea de exploit. Se llaman Lapsus$, son mayoría menores de edad operando desde Reino Unido y Brasil, y su modus operandi es básicamente engañar humanos y comprar credenciales en el mercado negro.

Lo que va de 2022 ya muestra el patrón: el costo más alto en ciberseguridad este año no va a venir de zero-days exóticos, va a venir de MFA fatigue, soporte engañado, y credenciales filtradas. Para empresas mexicanas medianas, esto es buena y mala noticia: la mala es que las defensas tradicionales (firewall, antivirus, EDR) no detienen estos ataques. La buena es que las contramedidas son baratas y ejecutables en semanas, no en años.

Cómo opera Lapsus$ (y por qué funciona)

El playbook de Lapsus$ tiene tres componentes principales:

1. Comprar acceso inicial

En foros y mercados como Genesis Market, hay credenciales corporativas a la venta por unos cuantos dólares. Vienen de info-stealers (RedLine, Raccoon) que infectan computadoras personales de empleados y exfiltran cookies de sesión, gestores de contraseñas y tokens guardados en navegador.

Para Lapsus$, comprar un acceso a la VPN corporativa de una Fortune 500 cuesta menos que el iPhone que está usando el operador que lo compra.

2. MFA fatigue

Una vez con credenciales válidas, el atacante intenta loguearse repetidamente. Si la empresa tiene MFA por push notification (típico con Microsoft Authenticator, Duo Push, Okta Verify), el empleado real recibe decenas de notificaciones a las 3 AM. Eventualmente uno aprueba "para que pare". El atacante entra.

Esto no es teoría. Es exactamente lo que pasó en varios de los casos de Lapsus$ y antes en el ataque a Cisco (2022) y otros.

3. Ingeniería social al soporte

Si el MFA fatigue no funciona, llaman al help desk haciéndose pasar por el empleado. "Perdí mi token, necesito reset urgente, soy fulano de tal, mi número de empleado es X". Si el proceso de verificación del help desk es débil, el atacante consigue reset de credenciales o de MFA en minutos.

Este vector es exactamente el que abrió Sitel/Okta y otros casos que vamos a ver explotar en los próximos meses.

Casos en cola que vamos a comentar este trimestre

• NVIDIA (cerca de fin de febrero): se espera divulgación de breach grande con datos de empleados.
• Samsung (principios de marzo): datos sensibles de source code potencialmente comprometidos.
• Microsoft: ya circulan rumores de acceso a repos internos.
• Okta: incidente que se volverá público en marzo, con implicaciones para cientos de clientes.

No es coincidencia. Es el mismo grupo aplicando el mismo manual contra empresas distintas.

Qué puede hacer tu empresa esta semana

No necesitas comprar nuevo software. Las contramedidas más efectivas contra Lapsus$ son cambios de proceso y configuración.

1. Migrar a MFA resistente a phishing

El push notification simple es vulnerable a fatigue. Las opciones serias para 2022 son:

• Number matching: el usuario tiene que teclear un número que aparece en pantalla. Disponible en Microsoft Authenticator y otras apps.
• FIDO2 / WebAuthn con llaves físicas (YubiKey, Titan, Feitian). Imposibles de phishear, no hay forma de que un sitio falso obtenga el secreto.
• Passkeys donde estén disponibles.

Para roles privilegiados (admins, finanzas, IT), recomendamos llaves físicas obligatorias. El costo es de 30-50 dólares por persona.

2. Endurecer el proceso del help desk

Define y documenta un proceso de verificación que un atacante con datos de LinkedIn no pueda completar:

• Pregunta de seguridad que no esté en redes sociales.
• Verificación por video con manager (no por correo).
• Para resets de MFA: cooldown de 30 minutos y notificación al usuario por canal alterno.
• Lista de roles que requieren aprobación de seguridad para reset (no solo del manager).

Probablo con un ejercicio de red team contra el help desk: contratar a alguien que intente engañarlos. Vas a aprender más en una semana que con seis meses de capacitación PowerPoint.

3. Monitoreo de credenciales filtradas

Servicios como Have I Been Pwned (corporate), SpyCloud, Recorded Future o el módulo correspondiente de tu EDR pueden alertarte cuando credenciales de tu dominio aparecen en filtraciones.

Acción: cuando aparezca una credencial filtrada, forzar reset inmediato y revocar sesiones activas. Pequeño pero efectivo.

4. Política sobre dispositivos personales

Muchas credenciales corporativas terminan en gestores de contraseñas en computadoras personales infectadas con stealers. Política mínima:

• Prohibir guardar credenciales corporativas en navegador personal.
• Si el usuario necesita acceso desde dispositivo personal, que sea por VDI o navegador aislado.
• Capacitación específica sobre info-stealers (no es phishing tradicional).

5. Capacitación enfocada, no genérica

La capacitación anual de "cuidado con los correos sospechosos" no detiene MFA fatigue. Capacitación específica para 2022:

• Si recibes pushes de MFA que no iniciaste, NO apruebes y reporta.
• Si te llaman pidiéndote aprobar algo urgente, cuelga y verifica por canal alterno.
• Reportar es bueno, no se castiga el reporte de falso positivo.

La lectura

2022 va a ser el año donde la conversación de ciberseguridad se mueve de "comprar más herramientas" a endurecer procesos humanos. Lapsus$ no usa nada que justifique millones de dólares en defensas avanzadas. Usa fricción baja en help desk, MFA débil y credenciales en venta. Las empresas mexicanas medianas que entiendan esto y prioricen estos cambios este trimestre van a evitar el tipo de incidente que se va a volver titular cada mes este año.

---

¿Tu empresa está protegida contra MFA fatigue? Hagamos un assessment. En ALCA hacemos diagnóstico de procesos de identidad y soporte con foco en amenazas reales 2022. Conversemos sin costo.