LAPSUS$ Vuelve — y Esta Vez Apunta a Uno de los Mayores Laboratorios del Mundo
El grupo de hackers LAPSUS$ — responsable de brechas en Microsoft, Samsung, Nvidia, Uber y Rockstar Games — ha reaparecido con una nueva víctima: AstraZeneca, el gigante farmacéutico anglo-sueco responsable de vacunas contra el COVID-19, tratamientos oncológicos y medicamentos que utilizan cientos de millones de personas en todo el mundo.
La reclamación, publicada en foros clandestinos alrededor del 20 de marzo de 2026, indica que el grupo exfiltró aproximadamente 3GB de datos internos, incluyendo código fuente, configuraciones de infraestructura cloud y credenciales de acceso. A diferencia de sus operaciones anteriores — caracterizadas por dumps públicos masivos — esta vez LAPSUS$ está vendiendo los datos de forma privada: discreta, selectiva, sin exposición mediática inmediata.
AstraZeneca no ha emitido ningún comunicado oficial al respecto. Eso no significa que no haya pasado nada.
Qué Afirma LAPSUS$ Haber Robado
Las muestras compartidas por los atacantes en foros underground — revisadas por investigadores de seguridad independientes — incluyen:
- Código fuente interno: Repositorios que corresponderían a herramientas internas, pipelines de procesamiento de datos y posiblemente sistemas relacionados con I+D farmacéutica.
- Configuraciones de infraestructura cloud: Archivos de configuración de entornos cloud (AWS, Azure o GCP), incluyendo referencias a servicios internos, endpoints, y estructuras de red.
- Credenciales y secretos: El tipo de dato más crítico — claves de API, tokens de acceso, configuraciones con contraseñas hardcodeadas. Con esto, un atacante puede moverse lateralmente por la infraestructura cloud de una organización sin necesidad de explotar ninguna vulnerabilidad adicional.
- Información sobre empleados: Datos internos de personal, aunque el alcance completo no está confirmado.
La estructura de los archivos compartidos es consistente con el tipo de datos que tendría una empresa del tamaño de AstraZeneca — lo que da credibilidad a la reclamación, aunque la autenticidad final solo puede confirmarla AstraZeneca.
Por Qué LAPSUS$ Esta Vez Está Vendiendo, No Publicando
Hay algo diferente en esta operación comparada con las que hicieron famoso al grupo entre 2021 y 2023.
LAPSUS$ construyó su reputación sobre la publicidad: volcaban los datos robados en Telegram, humillaban públicamente a las víctimas, y transmitían en vivo sus intrusiones. Era teatro tanto como crimen. Esa visibilidad también resultó en arrestos — varios miembros adolescentes del grupo fueron detenidos en el Reino Unido y Brasil.
El LAPSUS$ de 2026 — o quien esté operando bajo ese nombre — actúa diferente:
- Venta privada en lugar de dump público: Los datos se ofrecen discretamente a compradores calificados, no se publican gratuitamente. Más dinero, menos exposición legal.
- Targets de alto valor: Una empresa farmacéutica global con propiedad intelectual farmacéutica es exactamente el tipo de objetivo que maximiza el valor de los datos robados en mercados clandestinos — laboratorios rivales, actores de estado, o simplemente especuladores.
- Sin demandas públicas de rescate: No hay negociación abierta. Venden y desaparecen.
Esto sugiere o un grupo más maduro y operacionalmente seguro, o el nombre siendo usado por actores distintos que adoptan la marca por su reputación intimidante.
Por Qué AstraZeneca es un Target de Alto Valor
No es casualidad que un grupo sofisticado apunte a una farmacéutica de este calibre.
AstraZeneca tiene un portafolio de I+D activo que vale decenas de miles de millones de dólares. Sus pipelines de oncología, enfermedades cardiovasculares y terapias génicas representan años de investigación y ventajas competitivas que ningún competidor puede replicar legalmente. Robadas, esas ventajas pueden acortarse significativamente.
El contexto geopolítico también importa: la propiedad intelectual farmacéutica es un objetivo de espionaje industrial ampliamente documentado, con actores de estado (Rusia, China, Corea del Norte, Irán) regularmente implicados en operaciones contra el sector salud. LAPSUS$ puede ser el vendedor; el comprador final podría ser cualquier cosa.
Finalmente, las credenciales cloud robadas tienen un segundo mercado completamente separado del contenido intelectual: acceso a la infraestructura de AstraZeneca puede usarse para alojar malware, lanzar ataques desde sistemas de buena reputación, o simplemente minar criptomonedas a costa de la empresa.
Lo Que Debería Preocuparte si Usas Software o APIs de AstraZeneca
Si tu organización interactúa con sistemas de AstraZeneca — ya sea como socio clínico, proveedor, o a través de APIs de datos de investigación — estos son los riesgos a evaluar:
- Rotación preventiva de credenciales: Si tienes claves de API o tokens de integración con sistemas de AstraZeneca, rotarlos ahora es una medida de bajo costo y alta prudencia. No esperes a que AstraZeneca confirme el incidente.
- Revisión de accesos y permisos: ¿Tu organización tiene cuentas de servicio que acceden a sistemas de AstraZeneca? Audita qué permisos tienen y si han tenido actividad inusual reciente.
- Monitoreo de phishing sofisticado: Con información interna de AstraZeneca, los atacantes pueden construir spear-phishing altamente convincente dirigido a empleados de organizaciones asociadas. Alerta a tus equipos.
Para los Equipos de Seguridad: El Patrón LAPSUS$ que Persiste
Las brechas de LAPSUS$ históricamente no son el resultado de exploits sofisticados de zero-day. Son el resultado de algo mucho más prosaico: ingeniería social, SIM swapping, y credenciales compradas o robadas.
En sus operaciones documentadas contra Microsoft, Samsung y Uber, el grupo accedió inicialmente a través de:
- Empleados engañados para revelar credenciales o aprobar solicitudes MFA
- Credenciales compradas en mercados de infostealer
- SIM swapping contra números de teléfono vinculados a cuentas corporativas
- Acceso a repositorios de código mal configurados (GitHub, GitLab) con secrets hardcodeados
Si AstraZeneca fue comprometida siguiendo este patrón, el vector de entrada probablemente no fue una vulnerabilidad técnica compleja sino un eslabón humano o una mala práctica de gestión de credenciales — las mismas debilidades que existen en miles de organizaciones que creen estar suficientemente protegidas.
El antídoto no es nuevo: MFA resistente a phishing (llaves de seguridad hardware, no SMS ni TOTP), rotación periódica de credenciales de servicio, y escaneo continuo de repositorios en busca de secrets expuestos. Básico, pero frecuentemente ignorado incluso en empresas de clase mundial.
El Estado del Caso: Todo Sigue sin Confirmar
A la fecha de publicación de este artículo (23 de marzo de 2026), AstraZeneca no ha emitido ningún comunicado sobre este incidente. Las autoridades regulatorias del Reino Unido (ICO) y la Unión Europea (bajo GDPR) no han anunciado investigaciones abiertas. Los investigadores de seguridad que han revisado las muestras compartidas por LAPSUS$ consideran los datos auténticos y consistentes con AstraZeneca, pero sin confirmación oficial todo permanece en terreno de reclamación no verificada.
Lo que sí sabemos: LAPSUS$ tiene un historial de reclamaciones que resultaron ser reales. Cuando reclamaron el hack de Samsung en 2022, Samsung tardó días en confirmar que 190GB de datos — incluyendo código fuente de Galaxy — habían sido robados. El silencio corporativo inicial no es prueba de falsedad.
Seguiremos este caso. Si AstraZeneca confirma el incidente, el alcance real de los datos expuestos probablemente sea más significativo de lo que LAPSUS$ está revelando en este momento.
Si tu organización maneja datos de investigación clínica, propriedad intelectual farmacéutica, o tiene integraciones con sistemas de grandes pharmas — Sable puede evaluar tu exposición antes de que lo haga alguien más. También puedes revisar nuestra cobertura del zero-day de Cisco FMC para entender cómo grupos como Interlock y LAPSUS$ escalan sus operaciones una vez dentro de una red corporativa.