LAPSUS$ Vuelve y Dice Haber Hackeado AstraZeneca
LAPSUS$ afirma haber exfiltrado aproximadamente 3 GB de datos comprimidos de AstraZeneca, incluyendo código fuente Java Spring Boot, credenciales de AWS y Azure, y tokens de acceso a GitHub Enterprise y Jenkins CI/CD. La farmacéutica no confirmó ni desmintió el incidente. El grupo ofrece los datos a la venta a través de la app Session, abandonando su viejo modelo de leak público.
En 30 segundos
- LAPSUS$ publicó en su sitio Tor (~20 de marzo de 2026) que tiene 3 GB comprimidos de datos internos de AstraZeneca, organizados en un directorio llamado AZU_EXFIL
- Entre los datos alegados hay código fuente del portal de cadena de suministro (als-sc-portal-internal), credenciales de AWS/Azure/Terraform, claves criptográficas privadas y tokens de Jenkins y GitHub Enterprise
- El grupo cambió de táctica: en vez de publicar todo para presionar, vende los datos al mejor postor vía la app de mensajería Session
- AstraZeneca no emitió comunicado oficial al cierre de esta nota
- No es la primera vez que la farmacéutica aparece como blanco: en 2020, hackers vinculados al grupo Lazarus de Corea del Norte intentaron infiltrarse durante el desarrollo de la vacuna COVID
Qué sabemos del supuesto hackeo de AstraZeneca por LAPSUS$
Alrededor del 20 de marzo de 2026, LAPSUS$ publicó en su sitio .onion que había logrado exfiltrar datos internos de AstraZeneca. La afirmación vino acompañada de capturas de directorios y fragmentos de código que, según SecurityWeek, mostraban estructura de proyectos Java y archivos de configuración consistentes con entornos corporativos reales.
AstraZeneca no confirmó ni desmintió. Silencio total.
Eso no es raro en estos casos. Las farmacéuticas suelen esperar a tener un panorama claro antes de hacer declaraciones públicas, porque cualquier palabra mal elegida puede impactar en mercados bursátiles y en la confianza de partners regulatorios. Pero el silencio también alimenta la especulación, y mientras tanto LAPSUS$ sigue ofreciendo el paquete de datos a compradores interesados a través de la app Session, un mensajero cifrado que no requiere número de teléfono ni email para registrarse.
Qué datos fueron supuestamente robados: código fuente, credenciales y más
Si las afirmaciones son ciertas, el volumen y la variedad de lo exfiltrado es preocupante. Según el análisis de CyberPress, los datos están organizados bajo una estructura de directorio llamada AZU_EXFIL, y abarcan varias categorías.
Código fuente
Repositorios Java Spring Boot completos con controllers, repositories, services, schedulers y archivos de configuración. También frontends Angular y componentes Python. El repositorio más sensible parece ser als-sc-portal-internal, que corresponde al portal interno de cadena de suministro de AstraZeneca, con módulos de demand forecasting, inventory tracking, product master data e integración con SAP.
Credenciales e infraestructura
Credenciales de AWS, Azure y Terraform. Claves criptográficas privadas. Credenciales de HashiCorp Vault. Tokens de acceso a GitHub Enterprise y pipelines de Jenkins CI/CD. Emails corporativos.
Esa combinación es particularmente tóxica. Con tokens de GitHub Enterprise y Jenkins, un atacante puede inyectar código en pipelines de build. Con credenciales de Vault, accede a secretos que protegen otros sistemas. Con claves de AWS/Azure, se mueve lateralmente por toda la infraestructura cloud. Si te interesa, podés leer más sobre estrategias de segmentación de red corporativa.
La nueva táctica de extorsión: vender datos en vez de publicarlos
Acá hay un cambio de modelo que vale la pena analizar. El LAPSUS$ que conocimos en 2022 operaba con una lógica de presión pública: te robo los datos, los publico en Telegram, y vos quedás expuesto ante el mundo. La vergüenza como palanca de negociación.
En 2026, el enfoque es otro.
Ahora ofrecen los datos al mejor postor, con negociaciones privadas vía Session. Es un modelo pay-to-access que se parece más a una subasta que a una extorsión clásica. Y eso lo hace más peligroso por una razón concreta: no sabés quién compra. Podría ser un competidor farmacéutico, un estado-nación interesado en propiedad intelectual, u otro grupo criminal que quiera usar las credenciales para un ataque de segundo orden.
| Modelo de extorsión | Cómo funciona | Riesgo principal |
|---|---|---|
| Ransomware clásico | Cifra archivos, pide rescate por la clave | Pérdida operativa, downtime |
| Doble extorsión | Cifra + amenaza con publicar datos robados | Daño reputacional + operativo |
| Leak público (LAPSUS$ 2022) | Roba y publica para humillar, sin cifrar | Exposición masiva e incontrolable |
| Venta privada (LAPSUS$ 2026) | Roba y vende al mejor postor en privado | Compradores desconocidos con motivaciones opacas |
El ransomware tradicional al menos te da una contraparte con la que negociar. En este modelo, los datos pueden terminar en manos de múltiples compradores sin que la víctima siquiera se entere de quién los tiene.
Quién es LAPSUS$: historial de ataques a gigantes tecnológicos
LAPSUS$ no es un grupo de ransomware convencional. No cifra archivos. No despliega malware sofisticado. Su método siempre fue más artesanal: ingeniería social, compra de credenciales a insiders, SIM swapping. Pura extorsión con datos robados, sin componente de cifrado.
El timeline de sus ataques conocidos da una idea del calibre de sus blancos:
- Diciembre 2021: Ministerio de Salud de Brasil, durante la pandemia
- Febrero 2022: Nvidia, con 1 TB de datos internos exfiltrados
- Marzo 2022: Samsung, 190 GB de código fuente de la línea Galaxy
- Marzo 2022: Microsoft, acceso al repositorio Azure DevOps
- Enero 2022: Okta, acceso vía RDP a sistemas internos
- Septiembre 2022: Uber y Rockstar Games (la famosa filtración de GTA VI)
Después vinieron los arrestos. Varios miembros fueron detenidos en Reino Unido y Brasil, algunos de ellos adolescentes. El grupo pareció desactivarse entre 2023 y 2025. Si te interesa, podés leer más sobre plugins gratuitos para proteger tu WordPress.
Pero en 2026 resurgió. Según reportes de Hackread, el nuevo LAPSUS$ opera con un framework llamado ShinySp1d3r y está reclutando insiders corporativos de forma activa. Ya no son pibes en un chat de Telegram improvisando. Parece una operación más estructurada.
Impacto potencial en la cadena de suministro farmacéutica
Si la brecha es real, las implicaciones van mucho más allá de un problema de relaciones públicas.
El repositorio als-sc-portal-internal gestiona logística farmacéutica crítica. Forecasting de demanda, tracking de inventario, datos maestros de producto, integración con SAP. No es un sistema secundario. Es el sistema que conecta la producción de medicamentos con su distribución global.
Fijate la cadena de riesgo: credenciales de AWS/Azure permiten movimiento lateral en la infraestructura cloud. Tokens de Jenkins y GitHub Enterprise comprometen los pipelines de desarrollo, lo que abre la puerta a ataques de supply chain de software (inyectar código malicioso en builds legítimos). Las claves de Vault desbloquean secretos que protegen otros sistemas internos. Y el código fuente del portal de supply chain le da a cualquier atacante un mapa detallado de cómo opera la logística de AstraZeneca.
Para dimensionar: el ataque MedicaLock de abril de 2025 contra instalaciones sanitarias ya mostró lo vulnerable que es el sector salud a este tipo de operaciones. AstraZeneca es un blanco de otra escala, pero el patrón se repite.
Antecedentes: AstraZeneca como objetivo de ciberataques
No es la primera vez que AstraZeneca aparece en la mira.
En noviembre de 2020, durante el desarrollo de la vacuna contra COVID-19, hackers vinculados al grupo Lazarus de Corea del Norte intentaron infiltrarse en los sistemas de la compañía. Usaron ofertas de trabajo falsas en LinkedIn como vector de ingeniería social, buscando que empleados ejecutaran archivos maliciosos. El intento no prosperó, pero dejó claro que las farmacéuticas con propiedad intelectual valiosa son blancos prioritarios para actores estatales.
En 2021, credenciales internas de AstraZeneca quedaron expuestas en un repositorio público de GitHub. Un incidente menor comparado con lo que alega LAPSUS$, pero que muestra un patrón de higiene de credenciales que deja preguntas abiertas. Si te interesa, podés leer más sobre parches críticos de Windows en entornos cloud.
El sector farmacéutico en general viene golpeado. El caso de Change Healthcare en 2024 fue la mayor filtración de datos de salud en la historia de Estados Unidos. Grupos como Qilin dominaron el panorama de ransomware contra el sector salud en 2025, y el costo promedio de una brecha en la industria sigue siendo de los más altos entre todos los sectores.
Cómo proteger infraestructura empresarial de ataques de extorsión
Aunque este caso involucra una multinacional farmacéutica, las lecciones aplican a cualquier organización que gestione infraestructura web, incluyendo sitios WordPress en entornos corporativos donde se manejan credenciales de cloud, API keys y tokens de CI/CD.
Rotación inmediata de secretos
Si sospechás que hubo una brecha, lo primero es rotar todas las credenciales potencialmente expuestas. Tokens de GitHub, claves de AWS/Azure, contraseñas de Vault, API keys. No mañana. Ahora. Cada hora que pasa con credenciales comprometidas activas es una ventana de oportunidad para el atacante.
Auditoría de accesos privilegiados
Revisá quién tiene acceso a qué en GitHub Enterprise y Jenkins. Service accounts con permisos excesivos son el camino más directo para movimiento lateral. El principio de mínimo privilegio suena a cliché, pero la mayoría de las organizaciones tienen service accounts con acceso admin que nadie revisó en años.
Gestión de secretos con rotación automática
Herramientas como HashiCorp Vault (que, irónicamente, aparece entre los sistemas comprometidos según LAPSUS$) permiten rotar secretos de forma automática. La clave es que los secretos tengan vida útil corta. Si un token expira en 24 horas, el impacto de una exfiltración se reduce a esa ventana. Si te interesa, podés leer más sobre ataque reciente contra Trivy en GitHub Actions.
MFA resistente a phishing y monitoreo de dark web
LAPSUS$ históricamente usó SIM swapping para bypassear MFA basada en SMS. La recomendación es migrar a FIDO2/WebAuthn, que no es vulnerable a ese vector. En paralelo, monitorear foros y mercados de la dark web para detectar si aparecen credenciales o datos de tu organización a la venta, algo que en este caso habría dado alertas tempranas.
Qué significa para sitios WordPress en Latinoamérica
Vos podrías pensar: “esto le pasa a AstraZeneca, una multinacional con miles de empleados, no tiene nada que ver con mi WordPress”. Y en parte tenés razón. Pero el patrón de ataque de LAPSUS$ (compra de credenciales a insiders, búsqueda de tokens expuestos en repositorios) se replica a menor escala contra cualquier sitio.
En el ecosistema WordPress latinoamericano es común encontrar credenciales de bases de datos en wp-config.php subidas a repositorios públicos, API keys de servicios de pago hardcodeadas en themes, y backups .sql accesibles desde la raíz del sitio. No necesitás un grupo como LAPSUS$ para explotar eso. Cualquier script automatizado lo encuentra.
Si gestionás un WordPress en un hosting como donweb.com, asegurate de que tus credenciales no estén expuestas en ningún repositorio, que tu wp-config.php tenga permisos 600, y que uses contraseñas de aplicación con alcance limitado en vez de tu password de admin para integraciones con APIs externas.
Qué está confirmado y qué no
| Afirmación | Estado | Fuente |
|---|---|---|
| LAPSUS$ publicó en su sitio Tor que tiene datos de AstraZeneca | Confirmado | Múltiples medios de ciberseguridad verificaron la publicación |
| Los datos incluyen ~3 GB comprimidos | Afirmación de LAPSUS$, sin verificación independiente | Publicación en sitio .onion del grupo |
| El código fuente y credenciales son legítimos | No confirmado | Capturas muestran estructura consistente, pero no hay validación externa |
| AstraZeneca sufrió una brecha de seguridad | No confirmado ni desmentido | AstraZeneca no emitió comunicado público |
| Los datos están a la venta vía Session | Confirmado | Canal de comunicación verificado por investigadores |
| LAPSUS$ resurgió en 2026 con nueva infraestructura | Confirmado | Framework ShinySp1d3r documentado por investigadores de seguridad |
Errores comunes
Asumir que los secretos en Vault están seguros por definición
Vault es una herramienta excelente para gestionar secretos, pero si alguien exfiltra las credenciales de acceso a Vault (como alega LAPSUS$ en este caso), todos los secretos que protege quedan expuestos. Vault no es una bala de plata; necesita su propia capa de protección, monitoreo de accesos anómalos y rotación frecuente de tokens root.
No monitorear repositorios públicos en busca de credenciales propias
AstraZeneca ya tuvo un incidente de credenciales expuestas en GitHub en 2021. Herramientas como GitHub Secret Scanning, TruffleHog o GitLeaks permiten detectar automáticamente si alguien commiteó un token o password a un repo. Muchas organizaciones no las activan porque “nadie haría eso”. Spoiler: alguien siempre lo hace. Si te interesa, podés leer más sobre comparativa de firewalls para WordPress.
Confiar en MFA basada en SMS contra atacantes sofisticados
LAPSUS$ construyó su reputación haciendo SIM swapping para capturar códigos de verificación por SMS. Si tu segundo factor es un mensaje de texto, contra este tipo de atacante es lo mismo que no tener MFA. Migrar a llaves físicas FIDO2 o autenticación biométrica elimina ese vector por completo.
Tratar un incidente de extorsión como un problema solo de IT
Cuando te llega una demanda de extorsión (o peor, te enterás por las noticias de que tus datos están a la venta), la respuesta no puede ser solo técnica. Necesitás legal, comunicaciones, y en el caso de farmacéuticas, notificación a reguladores. Muchas empresas pierden tiempo valioso porque el equipo de IT intenta resolver todo internamente antes de escalar.
Casos como LAPSUS$ Vuelve y Dice Haber Hackeado AstraZeneca te hacen darte cuenta de lo importante que es blindar tu infraestructura en la cloud.
Mirá LAPSUS$ Vuelve y Dice Haber Hackeado AstraZeneca para entender los riesgos que corren las empresas hoy.
Preguntas Frecuentes
¿Qué datos le robó LAPSUS$ a AstraZeneca?
Según las afirmaciones del grupo (aún no verificadas de forma independiente), exfiltraron ~3 GB comprimidos que incluyen código fuente Java Spring Boot y Angular del portal interno de supply chain, credenciales de AWS, Azure y Terraform, claves criptográficas privadas, tokens de GitHub Enterprise y Jenkins, y credenciales de HashiCorp Vault. El repositorio más crítico sería als-sc-portal-internal, vinculado a la logística farmacéutica.
¿Es real el hackeo o es una afirmación falsa?
Al cierre de esta nota, no hay confirmación ni desmentido oficial de AstraZeneca. Las capturas publicadas por LAPSUS$ muestran estructura de directorios y código consistente con entornos empresariales reales, pero eso no es prueba definitiva. Hasta que un tercero independiente valide los datos o AstraZeneca se pronuncie, conviene tomarlo con cautela.
¿Qué es LAPSUS$ y por qué es relevante que hayan vuelto?
LAPSUS$ es un grupo de extorsión que entre 2021 y 2022 comprometió a Nvidia, Samsung, Microsoft, Okta, Uber y Rockstar Games, entre otros. Varios miembros fueron arrestados y el grupo pareció inactivo hasta 2026. Su resurgimiento con nueva infraestructura (framework ShinySp1d3r) y un modelo de venta privada de datos lo hace más difícil de rastrear que en su etapa anterior.
¿Cómo pueden protegerse las empresas de este tipo de ataque?
Lo esencial: rotación frecuente de todos los secretos y tokens, MFA con llaves FIDO2 (no SMS), monitoreo continuo de repositorios en busca de credenciales expuestas, segmentación de red para aislar sistemas críticos, y un plan de respuesta a incidentes que incluya equipos legales y de comunicación desde el minuto cero.
Conclusión
LAPSUS$ volvió, y volvió con un modelo más peligroso. Pasar del leak público a la venta privada de datos significa que las víctimas pierden visibilidad sobre quién tiene su información y qué planea hacer con ella. AstraZeneca todavía no se pronunció, y hasta que lo haga, las afirmaciones del grupo quedan en zona gris.
Lo que sí está claro es que el tipo de datos alegados (código fuente de sistemas de supply chain, credenciales de cloud, tokens de CI/CD) representa el peor escenario posible para cualquier organización. Si gestionás infraestructura web de cualquier escala, este caso es un recordatorio de que la gestión de secretos, la rotación de credenciales y el monitoreo de exposición son tareas continuas, no proyectos que se hacen una vez y se olvidan.
Rotá tus tokens. Auditá tus accesos. Revisá qué hay en tus repositorios. No esperes a ser noticia.
