Google confirmó que detectó y deshabilitó con rapidez una cuenta fraudulenta en su Law Enforcement Request System (LERS), el portal corporativo que gestiona solicitudes de datos de fuerzas del orden. En paralelo, un colectivo que se autodenomina Scattered LAPSUS$ Hunters —con nexos atribuidos a Scattered Spider, LAPSUS$ y Shiny Hunters— aseguró en Telegram haber accedido tanto a LERS como al sistema de verificación de la Oficina Federal de Investigación (FBI eCheck). Según BleepingComputer, el FBI no comentó el asunto y Google enfatizó que desde la cuenta apócrifa no se cursaron solicitudes ni se obtuvieron datos de usuarios.
Qué son LERS y eCheck: por qué su compromiso sería crítico
LERS centraliza órdenes judiciales, citaciones y Emergency Data Requests (EDR) para su tramitación con proveedores. FBI eCheck sirve para validar identidad y compartir información en investigaciones. El riesgo clave es la suplantación procedimental: si un actor no autorizado logra emitir peticiones que parezcan legítimas, un proveedor podría divulgar datos cumpliendo formalidades que han sido manipuladas.
Alegatos de los atacantes y respuesta de Google
Los atacantes publicaron capturas que, según ellos, acreditan acceso a LERS y eCheck, y afirmaron “pasar a la clandestinidad”. Google solo corroboró la creación de un perfil falso en LERS, bloqueado antes de que realizara acciones, e indicó que no hay evidencia de fuga de información. Expertos consultados por medios especializados advierten que una eventual continuidad de la campaña adoptaría tácticas más discretas, coherentes con patrones previos de estos grupos.
Contexto del grupo: ingeniería social y abuso de herramientas legítimas
Los Scattered LAPSUS$ Hunters han sido vinculados a incidentes con ingeniería social y explotación de flujos de trabajo corporativos. Reportes recientes describen presiones a empleados para conectar Salesforce Data Loader a instancias internas y exfiltrar datos para extorsión; el compromiso de repositorios de Salesloft; y búsquedas de secretos con TruffleHog para aprovechar tokens expuestos. Google Threat Intelligence (Mandiant) ha documentado públicamente campañas contra ecosistemas SaaS, acelerando respuesta y endurecimiento de controles en la industria.
Por qué los EDR y las solicitudes legales falsas son especialmente peligrosos
Las EDR se procesan en régimen acelerado y descansan en alta confianza en la identidad del solicitante. La industria ha advertido de su abuso: en 2022, varias investigaciones periodísticas describieron cómo actores vinculados a LAPSUS$ intentaron explotar EDR para obtener datos de grandes plataformas. Este vector prospera por la erosión del perímetro y la sobrecarga operacional. El Verizon DBIR 2024 destaca que el 68% de las brechas involucran al factor humano, incluyendo phishing, uso indebido de credenciales y engaños, lo que potencia escenarios de suplantación de autoridades.
Medidas prácticas para proveedores y equipos corporativos
Para operadores de portales LEA y proveedores de servicios: aplicar MFA resistente al phishing (FIDO2/WebAuthn con hardware keys), verificación estricta de identidad y mandato legal al alta de cuentas, verificación fuera de banda de EDR mediante canales preacordados, least privilege y segmentación de datos por función, detección de anomalías (frecuencia, geolocalización, patrones), y procesos ágiles de revocación y rotación de accesos.
Para equipos SaaS/DevOps/SecOps: control de conexión de herramientas como Data Loader, uso de credenciales de vida corta y rotación automática, secret scanning continuo (TruffleHog, gitleaks) y protección de plataformas Git (SSO, MFA obligatorio, protección de ramas), DLP y telemetría para identificar exfiltración desde CRM, y ejercicios regulares de concienciación en ingeniería social con procedimientos de “desconfianza por defecto” para peticiones inusuales.
El incidente refuerza una lección conocida: los adversarios explotan procesos de confianza tanto como vulnerabilidades técnicas. Revisar el control de acceso a solicitudes legales, implantar MFA resistente al phishing, reforzar verificaciones de EDR y ampliar la visibilidad sobre el uso de tokens y conectores SaaS reduce de forma significativa la superficie de ataque. Es un buen momento para auditar flujos de aprobación, cerrar cuentas heredadas y validar que toda solicitud “urgente” se confirme por canales independientes.