Vishing y SIM swap: el caso de Arion Kurtaj y el grupo Lapsus$

Con 17 años, Arion Kurtaj consiguió filtrar imágenes del aún no estrenado GTA 6 utilizando solamente una Fire Stick de Amazon y su teléfono desde un hotel, bajo custodia policial. El adolescente formaba parte del grupo Lapsus$, que se dedicó a hacer hackeos de alto perfil utilizando escasos recursos tecnológicos.

Un joven de espaldas, mirando la pantalla de un videojuego a oscuras.

Arion Kurtaj estaba diagnosticado con autismo y hoy en día está en internado.

La lupa sobre el misterioso caso de Arion Kurtaj

La Policía de Londres rodea el hotel Travelodge de Bicester, en Oxfordshire. Más agentes ingresan en las instalaciones, llenan los pasillos, se dirigen con decisión hacia un lugar concreto. Suben las escaleras. Llegan ante una puerta. No hace falta derribarla ni golpear, porque tienen la llave.

Filtró GTA6 desde la habitación de un hotel (mientras estaba arrestado)

¿Qué se encuentran adentro? Un adolescente tendido en la cama, con el gesto indolente y la mirada turbia fija en el televisor de la pared. Allí está conectada una Fire Stick de Amazon. El muchacho tiene el mando en la mano.

Se trata de Arion Kurtaj, y no es un joven como cualquier otro. Está bajo custodia policial por su participación con el grupo de hackers Lapsus$. Y con la Fire Stick que está controlando acaba de extorsionar a una multinacional de videojuegos.

La semilla de un hacker

Desde muy pequeño, Kurtaj demostró facilidad para el conocimiento informático. Sus profesores de la escuela secundaria lo calificaron como excelente en todo lo relativo a la tecnología y la resolución de problemas complejos; sin embargo, su puntaje nunca fue bueno en las demás áreas.

De hecho, los especialistas lo diagnosticaron con autismo severo, caracterizado por una falta de responsabilidad sobre sus actos y poca empatía hacia los demás. Esto no le impidió avanzar en sus estudios y desarrollar lazos sociales, aunque estos fueron mayormente a través de internet.

Fue en la virtualidad donde Kurtaj encontró la red donde mejor encajaba: el grupo Lapsus$, integrado por jóvenes y adolescentes como él, en buena parte menores de edad, provenientes de distintas partes del globo.

Los golpes del grupo Lapsus$

La red de hackers no era una organización en sí, ya que no contaba con jerarquías, roles fijos ni puestos asignados. Podría ser mejor definida como una cultura compartida por jóvenes con pasión por el fraude.

El motor no era tanto el rédito personal, sino una suerte de superación de desafíos. La red de Lapsus$ actuaba movida por impulsos, buscando demostrar que podían romper prácticamente cualquier sistema de seguridad.

El primer gran golpe lo perpetraron en el año 2021. Luego de varios ataques a empresas latinoamericanas, los integrantes de Lapsus$ le apuntaron a un blanco mayor: el Ministerio de Salud de Brasil. No se trató de ninguna estafa; el grupo tomó datos, borró información y manipuló el sistema de vacunación. Es decir: actuaron para probar su capacidad.

A este ataque le siguieron otros aun más resonantes. En 2022 fue contra el Ministerio de Justicia de Portugal y grandes empresas de tecnología. NVIDIA, por ejemplo, afirmó que se filtró información confidencial de sus empleados. Microsoft perdió código de sus productos internos, entre ellos el motor de búsqueda Bing. Samsung experimentó lo mismo con el código de su sistema Galaxy.

Otro importante blanco fue la empresa de autenticación Okta, que fue manipulada por los miembros de Lapsus$ para forzar errores. ¿Pero cómo hizo un grupo de adolescentes para perpetrar ataques de semejante magnitud?

Una técnica basada en la detección de puntos débiles

Arion Kurtaj y el grupo Lapsus$ no se valían de tecnologías de punta. No tenían granjas de bots ni agentes de inteligencia artificial. Por el contrario, utilizaban las herramientas menos avanzadas.

Su técnica estaba estructurada a partir del reconocimiento de los puntos débiles de su blanco. Estos nunca son los sistemas de seguridad, sino las personas reales que realizan las verificaciones.

El primer paso consiste en la estafa conocida como vishing. Es la versión del phishing a través del teléfono. La víctima era el soporte técnico interno de las grandes empresas. No el que se orienta a los clientes, sino aquel a donde llaman los empleados para recuperar sus credenciales.

Así, los miembros de Lapsus$ se hacían pasar por trabajadores de distintas firmas, utilizando información obtenida en internet para hacer que la comunicación sonara convincente. De esta manera, conseguían ingresar en las cuentas personales de los empleados, donde se almacenaban datos sensibles, como el código de los productos o la información técnica.

La otra articulación del ataque comprende lo que se conoce como SIM swap o SIM swapping. Esto consiste en asignar un número móvil a otra tarjeta SIM. Es algo que solo lo puede hacer la operadora de telefonía. Entonces, ¿cómo conseguía hacerlo el grupo Lapsus$?

Fácil: sobornaban a empleados de empresas como Verizon, AT&T o T-Mobile. Sencillamente, publicaban los anuncios en Telegram y las personas los solicitaban, como si fueran puestos de trabajo.

Con el acceso al número móvil, desde Lapsus$ podían sortear las autenticaciones en dos pasos y ganar acceso total a cualquier cuenta. Sin embargo, el grupo no era nada discreto en sus operaciones, y las autoridades inglesas no tardaron en arrestar a varios miembros. Arion Kurtaj, entre ellos. Lo cual nos lleva nuevamente a la habitación de hotel de Bicester, en el año 2022.

La técnica que usó Lapsus$ contra las corporaciones y cómo puede afectarte

Encerrado y rodeado por la Policía de Londres, Kurtaj accedió a internet mediante la Fire Stick de Amazon y, mediante métodos que no consiguieron ser probados, consiguió entrar en los sistemas internos de Rockstar Games, el gigante de videojuegos. Desde allí, capturó 90 imágenes del aún inédito GTA 6 y las publicó en foros.

No solo eso: también indicó que, si la empresa de juegos no se comunicaba con él, difundiría el código entero de su producto. El modo en el que consiguió la información, se especula, está ligado al vishing y al SIM swap, ya que no contaba con ordenadores de alta tecnología para realizar otro tipo de hackeos.

Esto quiere decir que el grupo Lapsus$ pergeñó una técnica que se apoya en muy pocos recursos. Lo que contempla es la posibilidad de error en el factor humano: es más factible confundir a la persona detrás del soporte técnico que burlar un sistema de ciberseguridad.

Hoy en día, los estafadores aplican el SIM swap y el vishing contra personas particulares, no contra grandes corporaciones. Posiblemente ya hayas recibido llamadas de números sospechosos que se hacen pasar por tu banco u otra entidad. Para protegerse, contra ambas modalidades de estafa, se pueden tomar algunos recaudos.

  • Pedir un PIN portable: las operadoras de telefonía móvil brindan la opción de solicitar un PIN extra, que se requerirá por parte del usuario cada vez que haya una solicitud de cambio de SIM. De esta manera, se pone una barrera más ante el SIM swap.
  • Utilizar autenticación de dos factores: con herramientas como Google Authenticator, se ganan más capas de seguridad. No hace falta recurrir al teléfono para una doble verificación.
  • Sentido común: para evitar el vishing, hay que recordar que nunca ninguna empresa llamará para solicitarte un código de verificación. Es una señal ineludible de alerta.
Jerónimo Corregido – Estafa.info – Editor jefe de la sección de noticias
Nunca le des un código de verificación a nadie por teléfono: están tratando de acceder a tu cuenta.