Un actor de amenaza que opera bajo el seudónimo 'LAPSUS-GROUP' con vínculos a nivel afiliado profundo con el colectivo Scattered Lapsus$ Hunters ha afirmado haber exfiltrado aproximadamente 815,000 filas de datos del Extranet de Adidas. Este es un portal web restringido que es utilizado por socios comerciales, proveedores y distribuidores licenciados. La violación ha expuesto PII de clientes, incluyendo nombres, apellidos, direcciones de correo electrónico, contraseñas, fechas de nacimiento, información de la empresa y un volumen significativo de datos técnicos.

Adidas ha confirmado el compromiso, pero agregó que no se originó dentro de su propia infraestructura central de TI. En cambio, la intrusión se vinculó a un socio de licencias independiente y un distribuidor de productos específico. Esta entidad es un tercero que opera sus propios sistemas de TI con algún nivel de acceso al portal orientado a socios de Adidas.

Adidas ha experimentado violaciones similares en el pasado. En mayo de 2025, el acceso no autorizado a un proveedor de servicio al cliente de terceros condujo a la filtración de los detalles de contacto de los clientes de Adidas. Los desafíos continuos que enfrentan las empresas debido a terceros se están convirtiendo en una preocupación, como vimos anteriormente en los casos de la violación de Nissan Red Hat y el incidente cibernético de Korean Air. 

Antes de avanzar, no olvides revisar nuestra publicación anterior en el blog sobre “las asambleas municipales de CIRCIA podrían ser un momento crucial para la infraestructura crítica” aquí.

¿Cómo ocurrió la violación? Reconstruyendo la ruta del ataque

La extranet como una superficie de ataque

Una extranet es, por diseño, una extensión controlada de la red interna de una empresa, abierta exclusivamente a terceros verificados. En el caso de Adidas, los socios licenciados, proveedores y distribuidores tenían acceso basado en necesidades a este portal. Estos portales son operacionalmente necesarios para asegurar una colaboración más profunda. Los proveedores, por ejemplo, necesitan acceder a catálogos de productos, sistemas de pedidos, y datos logísticos. Los minoristas necesitan suministro de inventario a tiempo. Los licenciatarios necesitan activos de diseño y documentación de cumplimiento. El problema es que a más puntos de acceso se ofrecen a terceros externos, mayor superficie de ataque se crea. Esta superficie es solo tan fuerte como su participante más débil (o sus prácticas de seguridad).

La supuesta violación no involucró la plataforma de comercio electrónico orientada al consumidor de Adidas ni a ninguna parte de su entorno empresarial central de TI. En cambio, el punto de entrada del atacante fue el entorno de TI de un licenciatario de terceros que había recibido acceso privilegiado al Extranet de Adidas. Este es un ejemplo clásico de un vector de ataque a la cadena de suministro. Pero no a través de una vulnerabilidad de software cuando se ve en el sentido tradicional, sino a través del abuso de confianza. El atacante no necesitó penetrar directamente Adidas. En cambio, solo necesitó comprometer a alguien que ya tenía las llaves y tomarlas de ellos.

Entendiendo el manual de Lapsus$: ingeniería social sobre explotación

El grupo detrás de este incidente que está asociado con el enfoque más amplio de Lapsus$, tiene un historial bien documentado de preferir la ingeniería social y el robo de credenciales en el pasado. Este grupo considera la ingeniería social como un atajo preferible sobre las explotaciones técnicas de día cero. Las campañas históricas de Lapsus$, incluidas las intrusiones en Microsoft, Okta, Nvidia, Samsung y Uber, comparten un hilo común.  Suelen apuntar a personas y procesos en lugar de vulnerabilidades de código.

El enfoque de Lapsus$ generalmente involucra al menos una o más de las siguientes tácticas: intercambio de SIM para secuestrar la autenticación móvil, compra o phishing de credenciales de internos y contratistas externos, reclutamiento de empleados dentro de organizaciones objetivo para acceso directo, explotación de la fatiga de MFA a través de bombardear repetidamente con notificaciones push hasta que un usuario apruebe accidentalmente, y acceso a portales internos mal asegurados donde el uso repetido de credenciales de otras violaciones proporciona un punto de entrada.

En el incidente de Adidas, este es el escenario más probable (consistente con la metodología de Lapsus$). Las credenciales del socio de terceros para el Extranet de Adidas fueron robadas a través de un ataque de ingeniería social y estas mismas credenciales fueron usadas para acceder al portal.  

Dónde pudo haber fallado la gobernanza

Cuando se otorga acceso a un socio de terceros a una extranet, se hacen implícitamente varias suposiciones de seguridad. Se asume que el socio aplica una autenticación fuerte, protege las credenciales de acceso y no las comparte, asegura que su entorno de TI cumple con un estándar mínimo de seguridad, y que notificará a la organización principal sobre cualquier incidente de seguridad que afecte a sus sistemas.

En la gran mayoría de los programas de socios empresariales, tales suposiciones son, en el mejor de los casos, aspiracionales y, en el peor, un descuido. Los socios a menudo firman políticas de uso aceptable, pero muy pocas organizaciones realizan verificaciones técnicas continuas de la postura de seguridad de sus socios (ni siquiera como parte de una evaluación de riesgo y seguridad). Un socio de licencia para una línea de productos específica no es una firma de ciberseguridad y su madurez en TI, higiene de autenticación y preparación en respuesta a incidentes puede estar muy por debajo de lo que se esperaría que mantenga internamente el equipo de seguridad de Adidas.  

Lo que sugiere el reclamo del 'Mercado Francés de 420GB'

El reclamo del actor de amenaza de tener aproximadamente 420GB de datos de Adidas vinculados directamente al mercado francés merece atención por separado. Si se determina que es preciso, esto sugiere que la exfiltración no fue un robo rápido. En cambio, fue una extracción prolongada y deliberada. La exfiltración de datos de esta naturaleza típicamente requiere acceso persistente por un periodo prolongado. Esto, a su vez, sugiere que la intrusión pudo haber pasado desapercibida durante semanas o meses dentro del entorno de terceros antes de que se descubriera la violación. También plantea la cuestión de si el Extranet de Adidas tenía mecanismos de monitoreo de salida adecuados para detectar patrones de transferencia de datos anómalos desde cuentas de socios.

Lecciones para la industria: lo que nos dice la violación de Adidas

Lección 1: El riesgo de terceros ya no es una preocupación secundaria

Muchas empresas establecidas han pasado décadas reforzando perímetros y algunos controles internos. Pero el perímetro se ha disuelto más o menos. Hoy, el eslabón más débil en la cadena de seguridad de una gran organización casi nunca está dentro de la organización, sino en la cadena de suministro, el ecosistema de socios, la red de proveedores. El Informe de Amenazas de Shieldworkz ha mostrado consistentemente que las violaciones que involucran a terceros son de las más comunes y más dañinas. Los incidentes de terceros consecutivos de Adidas en 2025 y 2026 no son excepciones en lo absoluto. En cambio, son la norma para muchas organizaciones que aún no han hecho de la gestión del riesgo de terceros una prioridad.

Lección 2: Las extranets son objetivos de alto valor que con frecuencia están desprotegidos

Los portales de extranet agregan acceso y datos para docenas o cientos de socios externos. Se ubican en la frontera esencial entre un entorno controlado por la empresa y la postura de seguridad menos predecible de su ecosistema de socios. Sin embargo, muchas organizaciones tratan las extranets como una conveniencia de TI en lugar de un sistema crítico para la seguridad o incluso un entorno extendido. Los requisitos de autenticación son a menudo mucho más débiles que los sistemas internos. No hay autenticación de un solo factor o MFA heredado, no hay verificaciones de postura de dispositivos, no hay controles de acceso basados en anomalías e insuficientes registros. Para un atacante, una credencial de socio comprometida para una extranet puede ser más valiosa que una intrusión directa, porque viene preautenticada y preautorizada con menos probabilidades de detección.

Lección 3: Solo MFA no es suficiente contra la moderna ingeniería social

En muchos aspectos, la efectividad del grupo Lapsus$ a pesar de la adopción generalizada de MFA en la industria es una llamada de atención. El MFA basado en notificaciones push, OTP basado en SMS e incluso códigos TOTP pueden ser derrotados a través de la ingeniería social. Esto se puede hacer ya sea engañando a los usuarios para que aprueben solicitudes push maliciosas, interceptando OTPs a través del intercambio de SIM, o mediante proxies de phishing en tiempo real que transmiten credenciales a medida que la víctima las ingresa. El MFA resistente a phishing que son específicamente claves de seguridad de hardware (FIDO2/WebAuthn) o claves de paso es la única forma de autenticación que puede resistir tales técnicas. Las organizaciones que ejecutan portales de extranet con MFA basado en SMS o push deberían tratar tales portales como un riesgo activo a ser tratado.

Lección 4: La minimización de datos es un control de seguridad, no solo un requisito de cumplimiento

La presunta violación ha expuesto fechas de nacimiento, contraseñas, datos de la empresa y lo que el actor de amenaza describió como “datos técnicos sustanciales”. Parte de esta información plantea preguntas inmediatas sobre su necesidad. ¿Por qué se almacenan las contraseñas en un formato que puede ser exfiltrado como datos legibles? Las contraseñas adecuadamente hashadas usando bcrypt, Argon2 o scrypt deberían ser computacionalmente inviables para revertirse en cualquier tiempo práctico operativo. Si las contraseñas se comprometieron en una forma utilizable, esto sugiere prácticas de hash inadecuadas o que lo que se accedió fue un caché de credenciales en lugar de un almacenamiento de contraseñas debidamente asegurado. Además, la presencia de fechas de nacimiento en un conjunto de datos de extranet orientado a socios plantea la pregunta: ¿era ese dato necesario para la relación con el socio, o se retuvo más allá de su propósito útil?

Lección 5: Un patrón de incidentes de terceros indica una brecha estructural

Una violación de terceros es un incidente. Dos violaciones de terceros en nueve meses son un patrón. El compromiso de mayo de 2025 de un proveedor de servicio al cliente y la violación del Extranet de febrero de 2026 comparten una causa raíz estructural: la gobernanza de seguridad de terceros de Adidas no previno ninguna de las dos. Esto no significa que la seguridad interna de Adidas sea débil. Significa que los controles de seguridad aplicados a las relaciones con terceros no han sido adecuados. La lección para otras grandes empresas es que revisar tu propia postura de seguridad es insuficiente. Debes revisar la postura de seguridad de todos los que tocan tus datos.

Cómo prevenirlo: Un marco para practicantes

Gestión de riesgos de terceros: Pase de la verificación en papel a la técnica

La mayoría de los programas de riesgos de terceros están basados en cuestionarios. Un socio completa un formulario de evaluación de seguridad anualmente y el resultado se archiva. Este enfoque es fundamentalmente inadecuado porque se basa completamente en la autoevaluación y captura una instantánea uificada en un momento específico. La remediación requiere un cambio a la gestión de riesgos en terceros basada en evidencia continua.

• Require atestación técnica, no solo reconocimiento de políticas: Solicita resultados de pruebas de penetración, informes de escaneo de vulnerabilidades y certificaciones SOC 2 / ISO 27001 y revísalos.

•  Clasifica a tus socios por nivel de acceso y sensibilidad de los datos: Un socio con acceso al Extranet para datos de productos merece una mayor clasificación de escrutinio que un proveedor de mercadotecnia. Aplica controles proporcionales.

• Usa plataformas de Inteligencia de Riesgo Cibernético para monitorear continuamente la postura de seguridad externa de socios con acceso elevado. Un socio cuyo infraestructura de dominio muestra signos de compromiso debería desencadenar una revisión inmediata de acceso.

• Establece contractualmente plazos de notificación de incidentes: Si los sistemas de un socio se ven comprometidos, deberías saberlo dentro de 24-48 horas, no semanas. Haz que esto sea un requisito contractual vinculante con consecuencias definidas por no divulgación.

Fortalece el modelo de autenticación del Extranet

Los portales orientados a socios no deberían tener una autenticación más débil que los sistemas internos de empleados. En muchas organizaciones, sucede lo contrario. Los siguientes controles deberían ser innegociables para cualquier extranet que transporte datos sensibles:

• Refuerza las claves de hardware FIDO2/WebAuthn o las claves de paso para todas las cuentas de socios y no OTP por SMS, ni notificaciones push.

• Implementa Acceso Condicional o autenticación adaptativa: Rechaza los inicios de sesión de geografías inesperadas, dispositivos no reconocidos, o fuera del horario laboral sin verificación incrementada.

•  Aplica verificaciones de postura de dispositivos en el inicio de sesión: Los socios que acceden a funciones sensibles del Extranet deberían hacerlo desde dispositivos gestionados o certificados, no desde máquinas personales arbitrarias.

• Refuerza el tiempo de espera de las sesiones y los límites de sesiones concurrentes: Una sesión activa que no recibe monitoreo durante horas es una puerta abierta.

• Implementa aprovisionamiento de acceso justo a tiempo (JIT): El acceso de socios debería estar activo solo durante ventanas operativas acordadas, no persistente 24/7.

Instrumentaliza el Extranet para la detección de anomalías

Un atacante exfiltrando 815,000 filas de datos o 420GB desde un portal deja firmas de comportamiento. El volumen de transferencia de datos, la sincronización, los patrones de consulta y las secuencias de acceso asociadas con la exfiltración masiva son detectables distintos de la actividad normal del socio. Sin embargo, esto solo se puede detectar si se está recopilando y analizando la telemetría correcta.

•  Registra todos los eventos de acceso en la capa del extranet: quién autenticó, desde dónde, a qué accedieron, cuánto datos fueron transferidos, y cuándo.

• Establece líneas base de comportamiento por cuenta de socio y activa alertas por desviación: un distribuidor que normalmente accede a 50 registros al día no debería poder extraer 800,000 silenciosamente.

•  Integra los registros del extranet con tu SIEM y aplica reglas de Análisis de Comportamiento de Usuario y Entidad (UEBA) específicamente ajustadas para patrones de abuso de portales de socios.

• Herramientas como Shieldworkz, que ofrecen detección de anomalías, análisis heurístico y remediación rápida de riesgos, son directamente aplicables aquí para habilitar la detección del tipo de patrones de comando repentinos, de alto volumen o inusuales que caracterizan la exfiltración masiva basada en credenciales.

• Implementa controles de Prevención de Pérdida de Datos (DLP) en la capa de enlace y exportación de datos: limita volúmenes de descarga de una sola sesión, requiere justificación para solicitudes de datos masivos, y aplica limitación de velocidad.

Aplica el principio de menor privilegio

Cada cuenta de socio en una extranet debería tener acceso al mínimo dato necesario para su función de negocio específica. Esto parece obvio, pero frecuentemente se viola en la práctica porque el acceso amplio es más fácil de configurar y menos probable de generar quejas operativas.

• Mapea la función de negocio de cada socio a un alcance específico de acceso a datos y aplícalo técnicamente, no solo por política.

• Separa explícitamente los permisos de lectura y escritura: un distribuidor que verifica el inventario no debería tener acceso también a PII de clientes.

•  Audita permisos de acceso para todas las cuentas de socios al menos trimestralmente e inmediatamente ante cualquier cambio en la relación de socios.

• Elimina el acceso inmediatamente ante la expiración de contratos, cambios de personal en la organización del socio, o cualquier indicación de compromiso de seguridad en el socio.

Soluciona los asuntos de higiene de contraseñas y PII

La exfiltración reportada de contraseñas en un formato que parece explotable es una falla de seguridad fundamental que debe ser abordada independientemente de los orígenes de la violación.

• Audita todos los almacenes de credenciales: asegúrate de que las contraseñas están hashadas con un algoritmo adaptativo moderno.  

•  Aplica políticas de rotación y unicidad de contraseñas para todas las cuentas de socios.

• Aplica principios de minimización de datos a todos los datos orientados a socios: si un campo no es necesario operativamente, no lo recopiles o retengas. La exposición de fechas de nacimiento en un portal de socios B2B es una señal de alerta para recolección innecesaria de datos.

• Cifra campos sensibles en reposo a nivel de campo, no solo a nivel de base de datos, para que incluso un volcado de base de datos no proporcione datos sensibles en texto plano.

Construye un libro de respuesta a incidentes de terceros

La mayoría de las organizaciones tienen planes de respuesta a incidentes para su propio entorno. Muy pocas tienen un libro de jugadas probado para incidentes originados por terceros que, como demuestra este caso, tienen dinámicas de investigación y respuesta fundamentalmente diferentes. No controlas el entorno comprometido. No puedes realizar análisis forense en los servidores de tu socio. Dependes de su cooperación y sinceridad.

•  Define un procedimiento de Respuesta a Incidentes de Seguridad de Terceros: quién es notificado internamente, cómo se suspende el acceso del socio, cómo se determina el alcance de la exposición de datos y cómo se notifica a los individuos afectados.

• Preestablecer protocolos de comunicación con socios de alto riesgo para la escalación de incidentes de seguridad.

• Realiza ejercicios de mesa que simulen específicamente un escenario de violación de origen en el socio, no solo una intrusión directa.

• Mantén un Registro de Acceso de Socios que pueda usarse para enumerar inmediatamente todas las cuentas y permisos asociados con un socio comprometido.

La violación del Extranet de Adidas no es una historia sobre un firewall fallido o una vulnerabilidad no parcheada. Es una historia sobre confianza. Específicamente, las suposiciones de seguridad que hacen las grandes empresas sobre los socios a los que les otorgan acceso a sus sistemas. En un entorno empresarial hiperconectado, tu superficie de ataque se extiende a cada tercero que toca tus datos, tus portales y tus sistemas.

El grupo Lapsus$ y sus colectivos afiliados han demostrado repetidamente que los controles técnicos por sí solos son insuficientes contra la ingeniería social bien ejecutada. Las organizaciones que tendrán mejor desempeño en este panorama de amenazas son aquellas que combinan una rigurosa gobernanza de seguridad de terceros, una autenticación resistente a phishing, un monitoreo continuo del comportamiento y la humildad organizacional para reconocer que su seguridad es tan fuerte como el socio menos seguro en su ecosistema.

Para Adidas, la prioridad inmediata debe ser una revisión integral de todas las relaciones de acceso de terceros y no solo del Extranet, sino de cada portal y API orientado a socios. El patrón de incidentes exige una respuesta estructural, no un parche reactivo.

Habla con Shieldworkz para una auditoría integral de riesgos y seguridad

Activos descargables

Lista de verificación de seguridad operacional de OT / ICS Ciberseguridad

Informe del estado de la seguridad de OT

Implementación estratégica de ISA/IEC 62443-3-2

Mejorando la ciberseguridad y la resiliencia de OT para un proveedor de servicios públicos líder