Dos adolescentes británicos que formaban parte del grupo delictivo LAPSUS$ de ciberdelitos y extorsiones han sido condenados por su papel en una serie de ataques destacados contra varias empresas.
Arion Kurtaj, un oxfordense de 18 años, ha sido condenado a una orden hospitalaria indefinida debido a su intención de volver al ciberdelito «tan pronto como sea posible», según informó la BBC. Kurtaj, quien es autista, fue considerado no apto para ser juzgado.
Otro miembro de LAPSUS$, un menor de 17 años no identificado, fue condenado a una orden de rehabilitación juvenil de 18 meses, que incluye un requisito de supervisión y vigilancia intensiva de tres meses. Fue declarado culpable de dos cargos de fraude, dos delitos bajo la Ley de Uso Indebido de Computadoras y un cargo de chantaje.
Ambos acusados fueron detenidos inicialmente en enero de 2022 y luego liberados bajo investigación. Fueron re-arrestados en marzo de 2022. Mientras que a Kurtaj más tarde se le concedió la libertad bajo fianza, continuó atacando varias empresas hasta que fue arrestado de nuevo en septiembre.
El frenesí de ataques, que tuvo lugar entre agosto de 2020 y septiembre de 2022, apuntó a BT, EE, Globant, LG, Microsoft, NVIDIA, Okta, Revolut, Rockstar Games, Samsung, Ubisoft, Uber y Vodafone.
Se dice que LAPSUS$ está compuesto por miembros de Reino Unido y Brasil. Un tercer miembro del grupo, también sospechoso de ser adolescente, fue detenido en la nación sudamericana en octubre de 2022.
Un informe publicado este año por el Comité de Revisión de Ciberseguridad del Departamento de Seguridad Nacional de Estados Unidos (DHS-CSRB) reveló el uso de los atacantes de técnicas de cambio de SIM para apoderarse de las cuentas de las víctimas e infiltrarse en las redes objetivo. También utilizaron un canal de Telegram para publicitar sus operaciones y extorsionar a sus víctimas.
Durante el último año, la notoriedad que ha atraído LAPSUS$ también ha llevado a la aparición de otro grupo llamado Scattered Spider. Ambos grupos forman parte de una entidad más grande que se hace llamar The Comm.
Según el Buró Federal de Investigaciones, The Comm consta de un «grupo geográficamente diverso de individuos, organizados en varios subgrupos, todos los cuales coordinan a través de aplicaciones de comunicación en línea como Discord y Telegram» para dedicarse a intrusos corporativos, cambio de SIM, robo de criptomonedas, violencia real y swatting.
«Este caso sirve como ejemplo de los peligros a los que los jóvenes pueden ser atraídos mientras están en línea y las graves consecuencias que puede tener para el futuro más amplio de alguien», dijo Amanda Horsburgh, superintendente de detectives de la Policía de la City de Londres.
«A muchos jóvenes les gustaría explorar cómo funciona la tecnología y qué vulnerabilidades existen. Esto puede incluir aprender a programar, interactuar con personas afines en línea y experimentar con herramientas. Desafortunadamente, el mundo digital también puede resultar tentador para los jóvenes por las razones equivocadas».
