Mastodon Mastodon Mastodon Mastodon

Caso Kairos: condado de EE. UU. paga $1M por borrar datos robados

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Un organismo gubernamental en Estados Unidos pagó alrededor de $1 millón a unos extorsionadores que, según los investigadores, no cifraron ni un solo archivo en la red de la víctima. Conforme al case study de Rakesh Krishnan para Ransom-ISAC, un grupo llamado Kairos aplicó un modelo de pura extorsión basado en el robo de datos: sustrajo archivos y exigió un pago a cambio de no publicarlos. El análisis se basa en un chat de negociación filtrado y en el rastreo en blockchain del pago. El incidente afectó a decenas de miles de ciudadanos, cuyos datos personales —desde números de la Seguridad Social hasta huellas dactilares— acabaron en manos de los atacantes.

Cronología del incidente y de las negociaciones

Según la investigación, las negociaciones entre Kairos y la víctima duraron alrededor de un mes. Los atacantes abrieron la puja exigiendo $3 millones, alegando disponer de más de 2 terabytes de datos —aproximadamente 1,6 millones de archivos—. La víctima, que se describió en las negociaciones como «un condado pequeño con recursos limitados», comenzó ofreciendo $100 000, cantidad que fue incrementando poco a poco hasta $255 000 y posteriormente hasta $430 000.

Kairos redujo sus exigencias a $2 millones, tras lo cual fijó una cifra «definitiva» de $1 millón con un plazo límite estricto. Los atacantes emplearon palancas de presión habituales: contador regresivo, plazos muy ajustados y amenazas de publicar primero las carpetas más sensibles. Hicieron especial hincapié en una carpeta marcada como «prosecutors office», advirtiendo de que su publicación permitiría a delincuentes eludir cargos.

Según se indica en el estudio, el pago se efectuó el 13 de junio de 2025: aproximadamente 9,44 BTC, que en ese momento equivalían a alrededor de $1 millón. La víctima acabó pagando diez veces más que su oferta inicial.

Rastreo en blockchain y la «prueba de eliminación»

Krishnan siguió el rastro de los fondos tras el pago. Según su análisis, en cuestión de horas el importe fue fragmentado y movido a través de una cadena de monederos hasta llegar a direcciones de depósito presuntamente vinculadas a las criptobolsas Bybit, OKX y al servicio ruso BELQI. Este tipo de rastreo ofrece pistas a los investigadores, pero no permite identificar a personas concretas.

Tras el pago, Kairos proporcionó un archivo como «prueba de eliminación». Sin embargo, como señala el investigador, la lista de nombres de archivos solo confirma que los atacantes tuvieron acceso a los datos en algún momento, pero en ningún caso que los originales hayan sido destruidos. Cualquier promesa de eliminar datos robados sigue siendo una cuestión de confianza en la parte que cometió el robo.

Vínculo con un incidente real

El investigador no nombra directamente a la víctima, aunque los archivos que aparecen en las negociaciones filtradas tienen nombres característicos: Union.xlsx, 1 union co psi template.doc, итоговый архив union.rar. En mayo de 2025, el condado de Union (estado de Ohio) informó oficialmente del hallazgo de malware en su red y posteriormente notificó a 45 487 residentes y empleados la filtración de sus datos. Entre la información sustraída figuran números de la Seguridad Social, datos financieros, huellas dactilares y números de pasaporte. La población del condado ronda los 70 000 habitantes, por lo que el incidente afectó a la mayoría de sus residentes.

Importante aclaración: ni el condado de Union ni Kairos han confirmado oficialmente la relación entre las negociaciones filtradas y este incidente. Si dicha relación se confirma, significaría que un gobierno municipal pagó alrededor de $1 millón sin hacer público el hecho del pago.

Extorsión sin cifrado: una tendencia en auge

El condado de Union describió lo ocurrido como un ataque con ransomware. No obstante, en el caso de Kairos no se ha encontrado ni cifrador, ni bloqueador, ni petición de una clave de descifrado. La única herramienta de presión fueron los propios datos robados.

No se trata de un caso aislado. Según estimaciones disponibles, en 2025 solo aproximadamente la mitad de los ataques clasificados como «ransomware» incluyeron efectivamente cifrado, el mínimo de los últimos seis años. Algunos grupos han abandonado por completo el cifrado. En particular, el grupo Silent Ransom Group, vinculado a antiguos miembros de Conti, lleva varios años practicando extorsión pura basada en el robo de datos contra empresas jurídicas y financieras en Estados Unidos.

El patrón de negociación de Kairos también encaja con modelos ya conocidos. Cuando en febrero de 2025 se filtraron los chats internos de Black Basta, el análisis reveló un acuerdo con una trayectoria prácticamente idéntica: de una exigencia inicial de $1,5 millones, pasando por una contraoferta de $100 000, hasta un pago final de $1 millón.

Estado actual de Kairos

Según la investigación, el sitio de filtraciones de Kairos está actualmente inactivo, y la última víctima conocida del grupo se registró en junio de 2026. Sin embargo, el monedero vinculado a la operación, de acuerdo con el análisis de blockchain, mostró actividad todavía en mayo de 2026. Que el sitio de filtraciones no funcione no equivale a que el grupo haya cesado su actividad.

Kairos afirmó en las negociaciones que el acceso inicial se obtuvo mediante adivinación de contraseñas. Para la exfiltración de datos, según se indica, se emplearon enlaces temporales del servicio temp.sh.

Recomendaciones para redes municipales y gubernamentales

  • Autenticación multifactor (MFA): es obligatoria para todas las cuentas con acceso remoto. Kairos aseguró que entró en la red simplemente adivinando una contraseña.
  • Monitorización de anomalías: supervise los intentos repetidos de inicio de sesión fallidos, las transferencias salientes de datos inusualmente grandes y los accesos a servicios de intercambio de archivos de un solo uso (temp.sh y análogos).
  • Segmentación de datos: los documentos legales, de recursos humanos y los datos personales de los ciudadanos deben estar aislados de la red general.
  • Plan de respuesta pública: prepare con antelación un modelo de comunicado y el procedimiento de notificación antes de que se produzca un incidente.
  • Actitud ante las «pruebas de eliminación»: una lista de nombres de archivos no constituye una confirmación de que los datos hayan sido destruidos. No existe ninguna garantía en la promesa de un atacante de borrar lo robado.

El caso Kairos muestra un cambio concreto en la economía de la extorsión: el cifrado deja de ser necesario cuando basta con el mero hecho del robo de datos sensibles. Para las organizaciones con presupuestos de seguridad limitados —en primer lugar, las estructuras municipales— las prioridades deben ser MFA en todos los puntos de entrada, segmentación de los repositorios de datos personales y monitorización de grandes transferencias salientes. El pago del rescate no ofrece ninguna garantía: la «constancia» de eliminación de los datos está escrita por la misma mano que los robó.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.