¿Te imaginas que un chico de diecisiete años y un puñado de hackers irrumpan en los sistemas de una multinacional sin disparar una sola alarma?
En septiembre de 2022 lo hicieron. Y hoy voy a contarte cómo… y por qué debería preocuparte. LAPSUS$, alias Strawberry Tempest, saltó a los titulares en 2021 y 2022 tras golpear a Microsoft, Nvidia, Samsung y T-Mobile. La policía detuvo a varios miembros algunos menores de edad, pero el grupo reapareció el 15 de septiembre de 2022, apuntando a Uber. Aquel día, un contratista externo de Uber recibió notificaciones de autenticación multifactor una y otra y otra vez. Cansado, terminó pulsando Aceptar y sin saberlo, cedió su sesión al atacante.
¿Cómo obtuvo la contraseña?
Se compró en la dark web. La técnica se conoce como MFA fatigue: bombardear al usuario hasta que ceda. Con la sesión activa, el atacante entró en la VPN corporativa y localizó un script de PowerShell que guardaba credenciales de administrador para Thycotic, el gestor de privilegios de Uber. Esa llave maestra le abrió la puerta a AWS, Google Workspace, Slack, GitHub y la consola de HackerOne. Incluso leyó mensajes internos y reportes de vulnerabilidad. Bajo el alias Tea Pot, el hacker publicó en el canal de Slack de toda la empresa: “He hackeado Uber”. Además, cambió la configuración de OpenDNS, mostrando un gráfico ofensivo en páginas internas. Uber detectó la intrusión con rapidez. Según su informe, no hubo acceso a bases de datos de usuarios ni a números de tarjeta o historiales de viaje. Aun así, descargaron mensajes de Slack y algunos datos de facturación. La compañía reseteó cuentas, rotó claves, bloqueó herramientas internas y endureció sus políticas de MFA.
Lecciones aprendidas
Contraseñas reutilizadas o expuestas siguen siendo un talón de Aquiles. La fatiga de MFA funciona… si el usuario no está entrenado para detectarla. Los secretos hard-codeados en scripts son dinamita para un atacante con paciencia. Y recuerda: Uber ya había sufrido filtraciones en 2014, 2016, 2020 y 2023 incluso llegó a pagar 100 000 $ para silenciar un hackeo. LAPSUS$ demuestra que la ingeniería social y el factor humano siguen siendo vectores críticos.
Para protegerte: Capacita a tu gente contra la MFA fatigue. No reutilices credenciales. Elimina secretos del código y usa un vault. Refuerza la MFA con tokens físicos. Adopta Zero Trust.
¿Deberían las empresas pagar a los hackers para silenciarlos? ¿Cuál crees que será el próximo gran hackeo? Déjamelo en los comentarios… y nos vemos en la próxima intrusión.