Carne de cañón para los ciberdelincuentes en una guerra mucho mayor
En el cruce entre el mundo digital y el físico, un grupo de ciberdelincuentes rusos conocido como Silent Ransom ha comenzado a reclutar personas dentro de Estados Unidos para infiltrarse en bufetes de abogados, conectar memorias USB y extraer datos sensibles que luego usan como palanca de extorsión. En los últimos seis meses, esta táctica híbrida —que combina ingeniería social, intrusión presencial y hackeo remoto— ha generado aproximadamente 100 millones de dólares en pagos forzados. El FBI investiga el caso, pero la amenaza revela una brecha inquietante: la mayoría de las organizaciones han aprendido a defenderse en el espacio digital, pero pocas están preparadas para cuando el peligro llega, literalmente, a su recepción.
- Silent Ransom ofrece 500 dólares en Telegram a personas dispuestas a visitar oficinas de abogados y conectar dispositivos USB, convirtiendo a desconocidos en cómplices involuntarios de una operación criminal transnacional.
- La táctica elude las defensas antivirus tradicionales al saltarse la red por completo: el acceso físico es la llave que abre puertas que el hackeo remoto no puede forzar.
- En al menos un caso, un intruso transmitió en vivo lo que veía a través de gafas inteligentes mientras un cómplice llamaba al abogado haciéndose pasar por mensajero de FedEx para alejarlo de su escritorio.
- El FBI rastrea pagos en blockchain y analiza grabaciones de seguridad, pero reconoce que Silent Ransom es el único grupo de extorsión conocido que combina intrusión física y ciberataque de forma sistemática.
- Expertos advierten que esta amenaza híbrida —presión digital y física simultánea— representa un territorio para el que gobiernos y empresas aún no tienen protocolos claros ni personal entrenado.
En abril, un ejecutivo de una firma de abogados en Nueva Jersey recibió una llamada de alguien que decía ser del soporte técnico: había un virus en la red y necesitaban acceso físico a su computadora. Al día siguiente, un hombre apareció en recepción. Algo no encajó —¿por qué un técnico interno necesitaría registrarse en la entrada?— y cuando el abogado fue a recibirlo, el visitante huyó del edificio. Leeann Nicolo, investigadora de ciberseguridad de la aseguradora Coalition, reconoció la táctica de inmediato.
Detrás de ese incidente, y de varios similares en bufetes de todo el país, está Silent Ransom, un grupo de ciberdelincuentes de habla rusa que ha perfeccionado una estrategia inédita: contratar personas dentro de Estados Unidos para visitar oficinas y conectar memorias USB directamente en las computadoras. El acceso físico les permite eludir los antivirus que bloquean sus ataques remotos. La recompensa que ofrecen en un canal privado de Telegram es de 500 dólares por visita exitosa —una inversión modesta frente a los aproximadamente 100 millones de dólares que han extorsionado a bufetes en solo seis meses.
La audacia de la táctica deja rastros: cámaras de seguridad, registros de acceso, testimonios. Para el grupo, los reclutados locales son actores prescindibles. En un caso documentado, un intruso usó gafas inteligentes para transmitir en vivo lo que veía, mientras otro cómplice llamaba al abogado haciéndose pasar por un despachador de FedEx para alejarlo de su escritorio. El objetivo siempre es el mismo: obtener datos sensibles de los clientes para usarlos como palanca en negociaciones de rescate. Si las firmas no pagan, los datos se filtran públicamente.
El FBI confirma que ha habido numerosos intentos de acceso físico en ciudades de todo el país, y rastrea los pagos a través de la blockchain. Los investigadores creen que algunos miembros de Silent Ransom provienen de Conti, la banda de ransomware desmantelada en 2022. Genevieve Stark, del Google Threat Intelligence Group, advierte que la mayoría de las organizaciones no están entrenadas para enfrentar amenazas que combinan lo cibernético y lo físico al mismo tiempo. Nicolo, por su parte, espera ver más de estas tácticas híbridas: una forma de presión para la que el mundo corporativo, por ahora, no tiene respuesta clara.
En abril, el teléfono de un ejecutivo en una firma de abogados estadounidense sonó con una llamada de alguien que decía ser del departamento de soporte técnico. Había un virus propagándose por la red, explicó la voz. No podían arreglarlo de forma remota. Necesitaban acceso físico a la computadora del abogado. El ejecutivo, sin sospechar nada, le dijo al supuesto técnico que pasara por su escritorio en la oficina de Nueva Jersey.
Al día siguiente, la recepcionista llamó. Había alguien del departamento de Tecnologías de la Información esperando en la recepción. Fue entonces cuando algo no encajó. ¿Por qué un técnico de TI necesitaría registrarse en recepción? Leeann Nicolo, quien investiga incidentes de ciberseguridad para la aseguradora Coalition, reconoció la táctica cuando la firma de abogados la contrató para examinar lo que había sucedido. El visitante huyó del edificio cuando el abogado se acercó a recibirlo.
Este incidente fue uno de varios en bufetes de abogados de todo el país durante el último año. Detrás de ellos está Silent Ransom, un grupo de ciberdelincuentes de habla rusa que ha encontrado una manera de combinar lo digital con lo físico. Según el FBI e investigadores privados, el grupo contrata a personas dentro de Estados Unidos para que visiten las oficinas de abogados y conecten memorias USB directamente en las computadoras. El acceso físico permite eludir las defensas antivirus que los hackers encuentran cuando atacan desde la distancia. En un canal privado de Telegram, ofrecen 500 dólares por cada visita exitosa. Es una inversión modesta para lo que el grupo ha logrado extraer: aproximadamente 100 millones de dólares en extorsión de bufetes de abogados solo en los últimos seis meses, según estimaciones de ejecutivos de ciberseguridad que han facilitado pagos de rescate.
La táctica es audaz y deja un rastro de evidencia que el FBI puede rastrear: grabaciones de seguridad, registros de acceso, testimonios de empleados. Para los ciberdelincuentes rusos, las personas que contratan son lo que una fuente describió como "carne de cañón"—actores prescindibles en una operación mucho más grande. Pero el riesgo vale la pena cuando el hackeo remoto no produce suficientes datos sensibles para una negociación de rescate lucrativa. En un caso, un hombre que se hacía pasar por técnico entró en otro bufete y comenzó a hablar en ruso a través de sus gafas inteligentes, probablemente transmitiendo en vivo lo que veía a sus cómplices. Mientras tanto, otro miembro del grupo llamó al abogado haciéndose pasar por un despachador de FedEx para alejarlo de su escritorio. El intruso conectó la memoria USB, pero las defensas cibernéticas de la firma bloquearon el ataque.
El objetivo es claro: obtener datos sensibles sobre los clientes de los bufetes para fortalecer la posición del grupo en las negociaciones de rescate. Si las firmas no pagan, los datos robados se filtran públicamente. Las manos alquiladas han visitado las principales ciudades estadounidenses, incluyendo Nueva York y Washington. Un ejecutivo de ciberseguridad le dijo a CNN que espera que el grupo esté apuntando a todas las principales firmas de abogados del país.
Silent Ransom es el único grupo de extorsión de datos del que el FBI tiene conocimiento que está accediendo físicamente a las pertenencias de sus víctimas. Ha habido numerosos intentos de acceso físico en ciudades de todo Estados Unidos, confirmó el FBI, aunque rechazó proporcionar más detalles. Otros ciberdelincuentes han hecho amenazas físicas antes—desde swatting hasta amenazas de violencia—pero la mayoría de los expertos en seguridad, tanto del gobierno como privados, aún no están entrenados para lidiar con amenazas que combinan lo cibernético y lo físico simultáneamente. Genevieve Stark, jefa de análisis de inteligencia en Google Threat Intelligence Group, señaló que muchos actores de amenazas han encontrado más fácil operar completamente en línea, lo que significa que el componente físico puede ser una amenaza para la que las organizaciones no están preparadas.
Los investigadores creen que algunos miembros de Silent Ransom estuvieron involucrados en Conti, la infame banda de ransomware que se disolvió en 2022 después de que un hombre ucraniano filtrara miles de registros internos del grupo en represalia por la invasión rusa a Ucrania. Esa filtración reveló conexiones entre los hackers y la inteligencia rusa. El FBI pasó años recopilando pruebas sobre Conti y rastreando a sus miembros. Ahora está construyendo un caso contra Silent Ransom rastreando pagos de bufetes en la blockchain. Mientras tanto, al menos dos bufetes han recibido cartas de extorsión por correo en el último año exigiendo pagos en criptomoneda o efectivo, con direcciones de devolución en oficinas vacías en Washington y Boston. Aunque las cartas estaban firmadas por un grupo diferente, Nicolo cree que es una bandera falsa y que las pruebas forenses muestran que Silent Ransom fue responsable de hackear al menos una de las firmas. Espera ver más de estas tácticas híbridas en el futuro, una combinación de presión digital y física que representa una amenaza para la que muchas organizaciones simplemente no están preparadas.
Citações Notáveis
¿Por qué una persona de TI necesitaría registrarse en recepción?— Leeann Nicolo, investigadora de incidentes de ciberseguridad en Coalition
Mi expectativa es que están apuntando a todas las principales firmas de abogados de EE.UU.— Ejecutivo de ciberseguridad involucrado en pagos al grupo
A Conversa do Hearth Outra perspectiva sobre a história
¿Por qué un grupo de ciberdelincuentes rusos elegiría contratar a personas para hacer esto en persona? Parece innecesariamente arriesgado.
Porque el hackeo remoto tiene límites. Las defensas antivirus modernas pueden bloquear mucho de lo que intentan hacer desde la distancia. Pero si alguien está físicamente en la oficina, conectando una memoria USB directamente, pueden eludir esas defensas. Es más directo.
Pero eso deja evidencia. Cámaras de seguridad, testigos, registros de acceso.
Exacto. Y eso es lo que hace que sea tan audaz. Para ellos, esas personas que contratan son prescindibles. Son pagadas 500 dólares. Si algo sale mal, el grupo está lejos, en Rusia, sin conexión directa.
¿Qué están buscando realmente cuando entran en estas oficinas?
Datos sobre los clientes de los bufetes. Información sensible que pueden usar para presionar a los abogados en las negociaciones de rescate. Si no pagan, filtran todo públicamente. Es extorsión pura.
¿Cuánto dinero estamos hablando?
Aproximadamente 100 millones de dólares en los últimos seis meses solo de bufetes de abogados. Y eso es solo lo que se puede estimar. El FBI está rastreando pagos en blockchain, pero muchas transacciones probablemente nunca se reportan.
¿Qué hace que esto sea diferente de otros grupos de ciberdelincuentes?
Que están dispuestos a cruzar la línea entre lo digital y lo físico. La mayoría de los expertos en seguridad no están entrenados para eso. Esperan ataques que vienen por internet. No esperan que alguien entre por la puerta.