Los cibercriminales del grupo criminal LAPSUS$ publicaron capturas de pantalla, supuestamente tomadas desde los sistemas de información de Okta. Si estas afirmaciones son ciertas, habrían tenido acceso no solo al sitio web de la empresa, sino también a varios sistemas internos, incluidos algunos muy críticos.

LAPSUS$ afirma que no robaron datos de esta empresa y que sus objetivos eran principalmente los clientes de Okta. A juzgar por las fechas de las capturas de pantalla, los atacantes habrían podido acceder a estos sistemas desde enero del 2022.

¿Qué es Okta y por qué esta violación podría ser tan peligrosa?

Okta desarrolla y se encarga del mantenimiento de sistemas de gestión de acceso e identidad. En concreto, ofrece una solución de inicio de sesión único, por lo que muchas grandes empresas utilizan las soluciones de Okta.

Los expertos de Kaspersky creen que el acceso de los cibercriminales a los sistemas de Okta podría explicar una serie de filtraciones de datos de alto perfil que han tenido lugar en grandes empresas, de las cuales los cibercriminales de LAPSUS$ se han atribuido la responsabilidad.

¿Cómo consiguen los cibercriminales el acceso a los sistemas de Okta ?

De momento no hay ninguna prueba concluyente de que los atacantes hayan conseguido acceder realmente al sistema de la empresa. De acuerdo con la declaración oficial de Okta, sus especialistas están investigando y la empresa promete compartir los detalles en cuanto esta concluya. Es probable que las capturas de pantalla publicadas estén relacionadas con el incidente de enero, en el que un actor desconocido intentó comprometer la cuenta de un ingeniero del equipo de soporte técnico que trabajaba para un subcontratista externo.

El 23 de marzo de 2022, LAPSUS$ publicó su respuesta a la declaración oficial de Okta, en la que acusaban a la empresa con la intención de minimizar el impacto de la violación.

¿Quién es el grupo LAPSUS$ y qué sabemos sobre él?

LAPSUS$ adquirió fama en el 2020 cuando comprometieron los sistemas del Ministerio de Salud de Brasil. Supuestamente se trata de un grupo de cibercriminales latinoamericano que roba información de grandes empresas a cambio de un rescate. Si las víctimas se niegan a pagar, los cibercriminales publican la información robada en Internet. A diferencia de otros grupos de ransomware, LAPSUS$ no cifra los datos de las organizaciones atacadas, simplemente amenaza con filtrar la información en el caso de que la empresa no pague el rescate.

Algunas de las víctimas más importantes de LAPSUS$ son Nvidia, Samsung o Ubisoft. Además, hace poco hicieron públicos 37 GB de código supuestamente relacionados con proyectos internos de Microsoft.

¿Cómo protegerse?

Por el momento, es imposible afirmar con absoluta certeza que el incidente haya sucedido realmente. La publicación de las capturas de pantalla en sí es un movimiento bastante extraño que podría estar buscando la autopromoción de los cibercrimanales, un ataque a la reputación de Okta o un intento de ocultar el método real por el cual LAPSUS$ obtuvo acceso a uno de los clientes de Okta.

Dicho esto, para ir a lo seguro, nuestros expertos recomiendan a los clientes de Okta que recurran a las siguientes medidas de protección:

• Realizar un seguimiento especialmente estricto de la actividad de la red y, en concreto, de cualquier actividad relacionada con la autenticación en los sistemas internos.
• Proporcionar al personal una formación adicional en higiene de ciberseguridad y prepararlos para estar alerta e informar sobre cualquier actividad sospechosa.
• Realizar una auditoría de seguridad de la infraestructura informática de la organización para detectar filtraciones y sistemas vulnerables.
• Restringir el acceso a herramientas de administración remota desde direcciones IP externas.
• Garantizar que solo se pueda acceder a las interfaces de control remoto desde un número limitado de endpoints.
• Seguir el principio de ofrecer privilegios limitados al personal y otorgar cuentas con privilegios altos solo a aquellos que lo necesiten para cumplir con su trabajo.
• Utilizar las soluciones de supervisión, análisis y detección del tráfico de red de ICS para una mejor protección contra ataques que potencialmente amenacen el proceso tecnológico y los principales activos de la empresa.

Las empresas que no cuentan con los recursos internos para supervisar la actividad sospechosa en su infraestructura informática pueden utilizar a [MDR placeholder] expertos externos [/MDR placeholder].