Agencias, Ciudad de México.- La compañía de autenticación Okta Inc —una de las principales compañías del sector— sufrió un presunto ciberataque por parte del grupo de hackers Lapsus$, lo que pone en riesgo los datos de sus más de 15,000 clientes —entre los que se incluyen empresas como Fedex, la MLBA, Moody’s, Peloton, Sonos, T-Mobile y otros.
La revelación surge después de que el grupo de hackers Lapsus$ publicara capturas de pantalla de supuesta información interna de Okta en su canal de Telegram, incluida una que parece mostrar los canales de Slack de la compañía y otra con una interfaz de Cloudflare.
En un mensaje adjunto, el grupo dijo que su enfoque era «SOLO en los clientes de Okta».
El alcance del supuesto ciberataque se desconoce; sin embargo, podría tener consecuencias importantes debido a que miles de empresas confían en Okta para administrar el acceso a sus redes y aplicaciones.
La compañía compite con Microsoft, PingID, Duo, SecureAuth e IBM para proporcionar servicios de identidad —como el inicio de sesión único y la autenticación multifactor— que se utilizan para ayudar a los usuarios a acceder de forma segura a aplicaciones en línea y sitios web.
Las acciones de Okta cayeron 2.7% a 164.92 dólares en las operaciones de la tarde, frente a los mínimos anteriores, de acuerdo con Reuters.
Okta sostiene que su servicio no fue vulnerado por hackers. Pese a las alegaciones de Lapsus$, Okta afirmó que su servicio no se vio vulnerado.
La empresa confirmó en un comunicado que un ciberatacante tuvo acceso a las computadoras portátiles de un ingeniero de soporte externo durante cinco días en enero de 2022; sin embargo, afirma que su servicio “no ha sido violado y permanece en pleno funcionamiento”.
David Bradbury, jefe de seguridad de Okta, agregó en el comunicado que el incidente se contuvo en su momento.
“Creemos que las capturas de pantalla compartidas en línea están conectadas con este evento de enero”, dijo. «Según nuestra investigación hasta la fecha, no hay evidencia de actividad maliciosa en curso más allá de la actividad detectada en enero».
De acuerdo con el ejecutivo, el impacto potencial para los clientes de Okta se limita al acceso que tienen los ingenieros de soporte, quienes no pueden crear o eliminar usuarios, ni descargar bases de datos de clientes. Sin embargo, la compañía dijo que dichos ingenieros tienen acceso a datos limitados como tickets de Jira y listas de usuarios, elementos que se vieron en las capturas de pantalla. Los ingenieros también pueden facilitar el restablecimiento de contraseñas y factores de autenticación de múltiples factores para los usuarios, pero «no pueden obtener esas contraseñas».
«Continuamos activamente nuestra investigación, incluida la identificación y el contacto con los clientes que pueden haber sido afectados», agregó Bradbury.
Los hackers que supuestamente atacaron a Okta son relativamente nuevos en el espacio del cibercrimen
Lapsus$ es un participante relativamente nuevo en el cibercrimen, sobre todo en materia de ransomware; sin embargo, ya cuenta con experiencia en hacks de alto perfil.
A principios de año, el grupo atacó los sitios web del conglomerado de medios portugués Impresa, tuiteando la frase «Lapsus$ es ahora el nuevo presidente de Portugal» en las cuentas de Twitter de un periódico. Los medios de comunicación propiedad de Impresa describieron el hackeo como un ataque a la libertad de prensa.
El mes pasado, el grupo filtró información patentada sobre el fabricante de chips estadounidense Nvidia y, más recientemente, el grupo dijo haber filtrado el código fuente de varias grandes empresas tecnológicas.
