Durante gran parte del verano que pasó, un misterioso grupo de piratas informáticos llevó a cabo una serie de importantes filtraciones de datos, todas ellas dirigidas a clientes de la empresa de almacenamiento de datos en la nube, Snowflake. Ahora, un presunto pirata informático (que los expertos consideran el cabecilla de ese grupo) ha sido detenido en Canadá, y podría estar de camino a un tribunal estadounidense.
El lunes, Bloomberg y 404 Media informaron que un canadiense llamado Alexander Moucka, también conocido como Connor Moucka, había sido detenido a finales de octubre en virtud de una orden de detención provisional. Moucka compareció ayer, 5 de noviembre, en una vista judicial en el marco del procedimiento de extradición, según informó 404 Media.
“Waifu” y “Judische”
Según Allison Nixon, investigadora de seguridad y directora de investigación de la empresa de seguridad Unit 221B, que lleva mucho tiempo siguiendo su actividad en internet, Moucka es conocido en el mundo de la ciberdelincuencia por sus alias “Waifu” y “Judische”. Alude a que la supuesta actividad de pirateo de Moucka se remonta a años antes de las filtraciones de Snowflake. «Estaba esperando esto», señala Nixon. «Waifu era el líder de un grupo responsable de muchas intrusiones importantes en la última media década».
La actividad sospechosa vinculada a cuentas de clientes de Snowflake se detectó por primera vez en abril, según un informe de junio de la empresa de seguridad Mandiant, propiedad de Google, que fue contratada por Snowflake para investigar conjuntamente el pirateo. Según el informe, se había accedido a los sistemas Snowflake de la primera víctima desconocida utilizando datos de acceso que habían sido tomados previamente por el malware infostealer. Según el informe de Mandiant, a lo largo de los dos caóticos meses siguientes, más de 165 clientes de Snowflake pudieron ver expuestos o robados sus datos almacenados en los sistemas de Snowflake. Cientos de millones de registros de AT&T, Santander, el propietario de Ticketmaster, Live Nation Entertainment, y otros, fueron accedidos en la oleada de piratas informáticos.
La autenticación multifactor funciona
El informe de Mandiant de junio indicaba que la mayoría de las cuentas de Snowflake comprometidas no tenían activada la autenticación multifactor, y que para acceder a ellas se utilizaron credenciales recogidas en los registros de los ladrones de información, algunas de las cuales se remontan a 2020. Desde que se produjeron los ataques, Snowflake ha actualizado sus sistemas para que la autenticación multifactor esté activada por defecto.
Un portavoz de Snowflake ha declarado a WIRED que no tiene nada que decir sobre la detención. Ian McLeod, portavoz del Ministerio de Justicia de Canadá, indica que Moucka fue detenido a petición de EE UU. «Dado que las solicitudes de extradición se consideran comunicaciones confidenciales de Estado a Estado, no podemos hacer más comentarios sobre este caso», manifiesta McLeod.
La firma de ciberseguridad Mandiant, una filial de Google que ha investigado las brechas Snowflake, se refirió al hacker detrás de ellas como “UNC5537”, y el analista de inteligencia de amenazas de la compañía Austin Larsen lo describe en una declaración a WIRED como «uno de los actores de amenazas más consecuentes de 2024.»
