El grupo “Lapsus” asegura que además se robó 24.000 bibliotecas de su código fuente. Qué significa esto y qué riesgos hay.
El grupo de ciberdelincuentes “Lapsus” asegura haber robado información sensible de Mercado Libre y Mercado Pago. La empresa fundada por Marcos Galperín emitió un comunicado en el que confirmó que a partir de un logueo no autorizado “se accedió a los datos de aproximadamente 300 mil usuarios de casi 140 millones”.
Los rumores de un posible hackeo comenzaron a circular el domingo por la noche. Lapsus subió a su canal de difusión una encuesta donde les pedía a los miembros que votaran sobre su próxima víctima. En la lista estaba Vodafone, Impresa, Mercado Libre y Mercado Pago.
Este lunes por la tarde Mercado Libre confirmó que hubo un acceso no autorizado: “Recientemente hemos detectado que parte del código fuente de Mercado Libre, Inc. ha sido objeto de acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo”, aseguraron.
La forma que tienen de operar estos grupos de cibercriminales es con extorsiones mediante ransomware: un tipo de virus que bloquea la información del usuario y pide un rescate en dinero a cambio, como sucedió con Migraciones en 2020 y el acceso no autorizado del Renaper en 2021.
En la encuesta el grupo afirma que consiguió robarse 24.000 bibliotecas de código fuente de la compañía (repositorios). ¿Qué significa esto?
“Un repositorio es simplemente una carpeta en la nube con código fuente de un software, en algún servidor o servicio que almacena información. Así como está Google Drive para guardar archivos personales, hay repositorios para guardar el código fuente de los programas.”, explicó Maximiliano Firtman, programador experto y docente, a Clarín.
“Tener el código fuente de un programa permite conocer como funciona. Imaginemos un museo donde están guardadas las joyas de la corona. Las joyas son los datos de los usuarios (claves, tarjetas de crédito) y el dinero. Eso no estaría vulnerado si solo aparecieron los repositorios. Lo que aparecieron son los planos completos del museo y de los edificios linderos, junto con el diseño de alarmas y el protocolo de los guardias de seguridad. La gravedad radica en que los delincuentes ahora tendrían información incalculablemente valiosa para cometer delitos. No significa que puedan porque igual hay que entrar a robar las joyas, pero tienen mucha más información que antes”, agrega el experto.
“Podría haber ahora muchos grupos de delincuentes intentando atacar a la empresa si encuentran vulnerabilidades en esos planos. Lo ideal es siempre estar atentos, configurar notificaciones para ser notificados inmediatamente de cambios en nuestras cuentas o transferencias de dinero y activar siempre el segundo factor de autenticación”, recomienda.
El número de repositorios que Lapsus dice tener es llamativo: 24.000, lo cual es muchísimo. Sin embargo, Mercado Libre es una de las compañías con más bibliotecas de código del mundo.
“24.000 programas es mucho. No obstante, Mercado Libre usa una técnica de producción de software llamada microservicios donde en lugar de hacer un software grande (por ejemplo uno solo para todo MercadoPago) hacen muchísimos software muy pequeños para cada funcionalidad (por ejemplo, uno para recibir dinero, otro para pagar servicios, otro para cambiar la contraseña y así)”, aclara Firtman.
“Hace un año se publicó la información que MercadoLibre era una de las empresas con más repositorios de código en el mundo y sumaban 13.000. 11.000 en un año parece mucho pero también podrían haber muchos repositorios que sean solo pruebas o incluso ejercicios de gente que está haciendo como pasantías. No se puede afirmar sin ver el contenido”, asegura el también director de la academia de programación IT Master Academy.
La postura de Mercado Libre
Mercado Libre, empresa que cotiza en Wall Street, estaba obligada a emitir un comunicado para aclarar la situación. Este fue el comunicado:
Recientemente hemos detectado que parte del código fuente de Mercado Libre, Inc. ha sido objeto de acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo.
Aunque se accedió a los datos de aproximadamente 300.000 usuarios (de casi 140 millones de usuarios activos únicos), hasta el momento -y según nuestro análisis inicial- no hemos encontrado ninguna evidencia de que nuestros sistemas de infraestructura se hayan visto comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta, inversiones, información financiera o de tarjetas de pago. Estamos tomando medidas estrictas para evitar nuevos incidentes.
Las filtraciones de datos suelen afectar la reputación de las compañías. Sin embargo, hay que recordar que desde Yahoo hasta Microsoft, pasando por Facebook, casi ninguna quedó exenta de delitos informáticos por parte de ciberdelincuentes.
Lapsus: qué se sabe y la conexión latinoamericana
Lapsus estuvo recientemente en las noticias por filtrar datos de Samsung. El viernes pasado subieron un archivo dividido en tres partes con datos de la compañía surcoreana, que se podía descargar mediante un torrent.
Algunos expertos aseguran que Lapsus es un grupo latinoamericano de ciberdelincuentes que operan con ransomware, este tipo de programa que extorsiona víctimas robándole información sensible y haciéndola pública.
De hecho, en el canal de comunicación oficial que usan hay mensajes en portugués, algo que no es tan común en el ambiente de los ciberdelincuentes: suelen postear mensajes en inglés o en lenguas con caracteres cirílicos (ruso y ucraniano, por ejemplo).
La compañía Nvidia, la mayor fabricante de chips de Estados Unidos, también fue víctima de un ciberataque de este grupo con gravísimas consecuencias. En más de 1 TB de información, llegaron a filtrar información muy sensible.
El planteo extorsivo de Lapsus le había pedido a Nvidia que deshabilitara “LHR”, es decir, un límite por software en sus tarjetas gráficas para desbloquear todo su potencial para la criptominería. Como la empresa no cedió, filtraron el código fuente de algunas de sus tecnologías más importantes como DLSS.
Restará saber si finalmente publican los 24.000 repositorios, o si la amenaza finalmente solo queda en una encuesta.
La encuesta que subieron finaliza el 13 de marzo.