Marzo fue un mes tremendamente prolífico para LAPSUS$, el grupo hacker que vulneró a grandes corporaciones como NVIDIA, Samsung, Microsoft y Mercado Libre. Sin embargo, uno de sus ciberataques más preocupantes fue contra Okta, una empresa prácticamente desconocida para el común de la gente, pero que ofrece servicios de identificación a unos 15.000 clientes en todo el mundo. Y ahora, dicha compañía ha salido a pedir disculpas por no informar oportunamente a sus clientes sobre el hackeo, tras conocerse que el mismo ocurrió en enero pasado.

En su apartado de preguntas frecuentes, Okta publicó un artículo en el que explica al detalle cómo se dieron los hechos protagonizados por LAPSUS$. Allí podemos ver la línea temporal del suceso y datos más específicos sobre el acceso no autorizado de los piratas informáticos.

En primera instancia, Okta confirmó que el hackeo ocurrió durante un período de cinco días —del 16 al 20 de enero— y que se originó en Sitel, una empresa subcontratada para ofrecer servicios de atención al cliente. El informe menciona que el ataque se descubrió cuando se intentó restablecer la contraseña de la cuenta de un ingeniero de la citada plataforma de soporte desde una nueva ubicación; sin embargo, al no aceptar un desafío del sistema de autenticación multifactor, la misma fue suspendida. El incidente se notificó, y una firma de análisis forense comenzó una investigación que duró hasta el 28 de febrero.

Además, Okta volvió a desmentir las afirmaciones de LAPSUS$ con respecto a la extensión del hackeo. Los piratas informáticos aseguraban haber tenido acceso a los sistemas durante dos meses, con privilegios de administrador o "Súper Usuario". Sin embargo, la empresa desestimó esa posibilidad debido a las limitaciones propias del tipo de cuenta vulnerada.

Al evaluar el alcance potencial del compromiso, es importante recordar que, por diseño, los ingenieros de soporte de Sitel tienen acceso limitado. No pueden crear o eliminar usuarios, ni descargar bases de datos de clientes. Los ingenieros de soporte pueden facilitar a los usuarios el restablecimiento de contraseñas y la autenticación de múltiple factor, pero no pueden elegir esas contraseñas. En otras palabras, una persona con este nivel de acceso podría activar repetidamente el restablecimiento de la contraseña de una cuenta, pero no podría iniciar sesión en el servicio.

Okta, sobre el hackeo de LAPSUS$

Okta se disculpa por no informar sobre el hackeo en su debido momento

Según su explicación, Okta se desentendió del incidente por considerar que no requería de mayor atención. Que una firma forense estuviese a cargo de analizar lo ocurrido con Sitel parecía dar la tranquilidad suficiente de que no existía más riesgo en torno a este tema. Sin embargo, lo publicado por LAPSUS$ del aparente hackeo obligó a darle prioridad nuevamente a esta situación.

Así, Okta llegó a la conclusión de que alrededor del 2,5% de sus clientes se habían visto afectados por el ciberataque del grupo hacker. Y si bien la compañía sostiene que no hay evidencia de una vulneración a sus servidores, sí asegura haberse puesto en contacto con los clientes potencialmente alcanzados.

"Confiamos en nuestras conclusiones de que el servicio de Okta no ha sido violado y que nuestros clientes no deben tomar medidas correctivas. Estamos seguros porque Sitel (y, por lo tanto, el atacante que solo tenía el acceso disponible para Sitel) no podía crear o eliminar usuarios, ni descargar bases de datos de clientes. [...] Para aprovechar este acceso, el atacante necesitaría obtener acceso de forma independiente a una cuenta de correo electrónico comprometida del usuario objetivo", indicaron.

¿Por qué sus clientes no se enteraron del hackeo en enero?

Este es el gran cuestionamiento que está recibiendo Okta desde que se conoció que estuvo en la mira de LAPSUS$. Y como mencionamos anteriormente, la compañía se disculpó con sus clientes. "Queremos reconocer que cometimos un error. Sitel es nuestro proveedor de servicios, del que somos responsables en última instancia", manifestaron.

En enero, no sabíamos el alcance del problema de Sitel, solo que detectamos y evitamos un intento de apropiación de una cuenta y que Sitel había contratado a una firma forense externa para investigar. En ese momento, no reconocimos que existía un riesgo para Okta y nuestros clientes.

Okta, sobre el hackeo de LAPSUS$

Así, Okta admitió que no le dio verdadera importancia a la situación. También es una realidad que, por entonces, no se hablaba de LAPSUS$ como sí ha sucedido en las últimas semanas. El grupo hacker, al parecer conducido por un adolescente, recién apareció en escena con prominencia tras el ciberataque a NVIDIA a comienzos de este mes.

De todos modos, la empresa que brinda servicios de identificación ha sentido el golpe. Cuando la noticia del ataque de LAPSUS$ salió a la luz, el valor de sus acciones en Wall Street cayó un 20%.