Ciberseguridad

La autopsia de un pago secreto de rescate de un millón de dólares de un condado

Una autopsia del pago secreto de 1 millón de dólares realizado por un condado de EE. UU. al grupo Kairos, analizando el cambio del cifrado a la extorsión pura por robo de datos.
La autopsia de un pago secreto de rescate de un millón de dólares de un condado

Pasé una tranquila tarde de martes revisando una serie de registros de negociación filtrados proporcionados por una fuente a través de un canal seguro de Signal. Hay un tipo específico de pavor al observar cómo un funcionario público se da cuenta de que su presupuesto anual está a punto de desvanecerse en una billetera criptográfica descentralizada. Los registros, analizados por Rakesh Krishnan para Ransom-ISAC, detallan un mes de negociaciones de alto riesgo entre un grupo que se hace llamar Kairos y una entidad gubernamental de EE. UU. que parece ser el condado de Union, Ohio. El precio final por el silencio fue de aproximadamente 1 millón de dólares.

La brecha sigue una cadena metódica de eventos que comenzó con un simple fallo. El atacante afirma que ingresó a la red adivinando una contraseña. No hubo ningún exploit de día cero ni ingeniería social compleja. Una vez dentro, el intruso eludió las defensas tradicionales porque no buscaba romper cosas. Querían llevarse cosas. Desde una perspectiva de riesgo, este incidente marca un cambio en la forma en que operan los extorsionadores modernos. Se han dado cuenta de que el esfuerzo necesario para cifrar toda una red suele ser innecesario. Los datos robados son un activo tóxico, y la amenaza de su publicación proporciona toda la influencia que un criminal necesita.

El rastro documental de una rendición silenciosa

La transacción ocurrió el 13 de junio de 2025. Un pago de 9,44 bitcoines se movió de la víctima a una billetera controlada por Kairos. En ese momento, esta cantidad valía aproximadamente 1 millón de dólares. Si bien el condado reconoció públicamente un ataque de ransomware en mayo de 2025, los detalles de este pago masivo permanecieron ocultos hasta que los investigadores reconstruyeron la línea de tiempo a partir de chats filtrados y registros de blockchain. La víctima en el chat se describió a sí misma como un condado pequeño con recursos limitados, una descripción que coincide con el perfil del condado de Union, que presta servicio a unos 70,000 residentes.

Los datos en juego eran inmensos. Kairos afirmó poseer más de 2 terabytes de información, incluidos 1,6 millones de archivos individuales. Entre estos se encontraban documentos de la oficina del fiscal local. El atacante comprendió el valor de esta carpeta específica. Advirtieron a la víctima que filtrar estos registros proporcionaría a los delincuentes la información necesaria para evadir cargos. Entre bastidores, la presión funcionó. El condado comenzó su negociación en 100,000 dólares y finalmente aumentó su oferta a diez veces esa cantidad para evitar una descarga pública de datos.

La anatomía de una táctica de extorsión pura

Kairos es parte de una tendencia creciente de actores de amenazas que han abandonado el cifrado por completo. En un ataque de ransomware tradicional, el delincuente bloquea los archivos de la víctima y vende la clave de descifrado. Kairos se saltó ese paso. Funcionaron más como un ladrón digital que roba las joyas de la familia y luego se ofrece a vendérselas al propietario por una tarifa. Los sistemas de la víctima permanecieron operativos, pero su reputación y la privacidad de 45,487 residentes estaban en peligro.

Sophos informó en 2025 que solo aproximadamente la mitad de los ataques de ransomware todavía implican cifrado. Esta es la tasa más baja en seis años. Grupos como Silent Ransom Group y Kairos se han dado cuenta de que la extorsión por robo de datos es más silenciosa y, a menudo, más difícil de detectar que un evento de cifrado ruidoso en toda la red. Por diseño, estos ataques permanecen fuera del radar de muchas herramientas antivirus tradicionales que buscan las firmas de modificación rápida de archivos de un cifrador. En consecuencia, un ladrón puede permanecer en una red durante semanas, exfiltrando datos lentamente a través de enlaces temporales para compartir archivos como temp.sh, sin activar una sola alarma.

Seguir el dinero hasta las plataformas de intercambio

Una vez que los 9,44 bitcoines llegaron a la billetera de Kairos, el proceso de lavado comenzó de inmediato. He pasado años rastreando actores maliciosos a través de la blockchain, y el camino que tomó este dinero es familiar. A las pocas horas del pago, los fondos se dividieron en múltiples direcciones nuevas. Esta es una táctica común para ocultar el origen de las monedas antes de que lleguen a un punto de salida. El dinero finalmente fluyó hacia direcciones de depósito en Bybit y OKX, junto con un servicio ruso llamado BELQI.

Estos intercambios de criptomonedas son el destino final donde los activos digitales se convierten en efectivo utilizable. Si bien la blockchain proporciona un registro público de cada movimiento, estos intercambios a menudo sirven como una niebla de guerra para los investigadores. A menos que el intercambio cumpla con citaciones internacionales, el rastro a menudo se enfría en la dirección de depósito. El uso de BELQI es particularmente revelador. Sugiere un nivel de comodidad con el ecosistema financiero ruso, que sigue siendo un refugio frecuente para los extorsionadores que operan fuera del alcance de las fuerzas del orden occidentales.

La ilusión de la prueba de eliminación

Cuando el condado pagó el millón de dólares, Kairos proporcionó un archivo como prueba de eliminación. Este archivo contenía una lista de nombres de archivos que el atacante afirmaba que ahora estaban borrados. Esta es la paradoja arquitectónica de la extorsión moderna. Una víctima paga por una acción que nunca podrá verificar verdaderamente. Una lista de nombres de archivos solo prueba que el atacante tuvo acceso a los datos en algún momento. No ofrece ninguna garantía de que el atacante no guardara una copia o vendiera los datos a otro grupo antes de que ocurriera la eliminación.

Tratar la promesa de un ladrón como un recibo es una apuesta peligrosa. En caso de una brecha, los datos ya están comprometidos. La confidencialidad de la Tríada CIA se rompe en el momento en que el primer terabyte sale de la red. Pagar el rescate es una medida reactiva que intenta recomprar una reputación que ya ha sido dañada. Es un acto de fe escrito por un criminal. Al observar el panorama de amenazas, estos pagos a menudo financian la siguiente ronda de ataques, creando un ciclo que apunta a otras entidades gubernamentales vulnerables.

Asegurando la red con fondos insuficientes

La parte más frustrante del caso Kairos es la simplicidad del punto de entrada. El atacante afirmó que entró adivinando una contraseña. Este es un recordatorio de que el perímetro de la red es un foso de castillo obsoleto si la puerta se deja sin llave. Las redes de gobiernos pequeños a menudo luchan con sistemas heredados y presupuestos de TI limitados, pero las soluciones a estos problemas no siempre son costosas. Requieren un cambio hacia una postura de seguridad más resiliente.

Hablando proactivamente, la primera línea de defensa es el firewall humano. Sin embargo, incluso los empleados mejor capacitados no pueden detener un ataque de fuerza bruta en un servicio que carece de autenticación multifactor (MFA). Si un atacante puede adivinar una contraseña y obtener acceso, el sistema ha fallado a nivel arquitectónico. La seguridad no es un producto que se compra; es un proceso que se sigue. Para el gobierno de un condado, ese proceso debe incluir controles de acceso estrictos y la segmentación de datos sensibles.

Conclusiones clave para entidades públicas y privadas

  • Implemente la autenticación multifactor en cada servicio orientado al exterior. La adivinación de contraseñas sigue siendo la forma más común para que grupos como Kairos obtengan un punto de apoyo.
  • Monitoree las transferencias de datos salientes de gran volumen. Un atacante que mueve 2 terabytes de datos debería activar una investigación inmediata en un SOC bien monitoreado.
  • Segmente su red. Mantenga la oficina del fiscal, los registros de recursos humanos y los datos financieros en zonas aisladas. Esto evita que un ladrón acceda a todas las joyas de la corona tras comprometer una sola cuenta de bajo nivel.
  • Audite su tráfico de intercambio de archivos. Bloquee o alerte sobre transferencias a sitios de alojamiento temporal como temp.sh, que se utilizan con frecuencia para la exfiltración.
  • Asuma que los datos han desaparecido. Una vez que los datos son robados, ningún pago puede restaurar verdaderamente su confidencialidad. Priorice la prevención y la detección sobre la negociación.

Fuentes y lecturas adicionales

  • Ransom-ISAC: Case Study on Kairos and Union County, Ohio (2025)
  • Sophos: State of Ransomware Report 2025
  • NIST: Guide to Data Confidentiality and Extortion Defense (SP 800-209)
  • MITRE ATT&CK: Exfiltration Over Web Service (T1567)

Descargo de responsabilidad: Este artículo es solo para fines informativos y educativos. No reemplaza una auditoría de ciberseguridad profesional, una investigación forense o un servicio de respuesta a incidentes. Consulte siempre con profesionales legales y técnicos al responder a un incidente de seguridad real.

bg
bg
bg

Nos vemos en el otro lado.

Nuestra solución de correo electrónico cifrado y almacenamiento en la nube de extremo a extremo proporciona los medios más potentes para el intercambio seguro de datos, lo que garantiza la seguridad y la privacidad de sus datos.

/ Crear una cuenta gratuita