AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Investigado un ex-negociador de ransomware por colaboración con bandas de extorsión digital**

admin

### Introducción

El Departamento de Justicia de Estados Unidos ha iniciado una investigación criminal contra un ex-negociador de ransomware, acusado de colaborar activamente con grupos cibercriminales para obtener beneficios personales a través de acuerdos de pago por extorsión. Este caso, sin precedentes en el sector, pone en entredicho la figura del negociador de ransomware y plantea serias cuestiones éticas, legales y operativas para los profesionales de la ciberseguridad y la gestión de incidentes.

### Contexto del Incidente

La figura del negociador de ransomware ha ganado presencia en los últimos años, dada la proliferación de ataques de doble extorsión y la necesidad de gestionar de forma profesional las comunicaciones con bandas como Conti, LockBit o Cl0p. Estos intermediarios, en teoría, actúan en representación de la víctima, buscando minimizar el impacto económico y operacional del ataque y reducir el importe de los rescates. Sin embargo, la línea entre el asesoramiento legítimo y la colaboración delictiva es difusa, especialmente cuando se establecen relaciones recurrentes con los propios operadores de ransomware.

En este caso concreto, el ex-negociador, cuya identidad no ha sido revelada por motivos legales, trabajó durante años como intermediario para múltiples organizaciones afectadas por ransomware. El Departamento de Justicia sospecha que utilizó su posición privilegiada para facilitar acuerdos ventajosos a los grupos criminales, obteniendo a cambio una parte de los rescates pagados.

### Detalles Técnicos: Tácticas, Técnicas y Procedimientos

Según fuentes cercanas a la investigación, el ex-negociador habría trabajado con bandas que utilizan variantes de ransomware como LockBit 3.0, BlackCat (ALPHV) y Royal, todas ellas ampliamente documentadas en el framework MITRE ATT&CK bajo la técnica T1486 (Data Encrypted for Impact). La investigación apunta a que el acusado habría sugerido a las víctimas omitir ciertas notificaciones legales y acelerar los pagos, posiblemente empleando criptomonedas como Monero y Bitcoin para dificultar las labores de trazabilidad (TTPs relacionados: T1566.001 – Spearphishing Attachment, T1588.003 – Obtain Capabilities: Code Signing Certificates).

En algunos casos, el ex-negociador habría participado en la elaboración de documentos falsos para justificar los pagos bajo el amparo de seguros de ciberseguridad, infringiendo directrices de la GDPR y la NIS2, y exponiendo a las víctimas a riesgos adicionales de sanción regulatoria.

Entre los Indicadores de Compromiso (IoC) identificados se encuentran wallets de criptomonedas asociadas a pagos de rescates, direcciones IP vinculadas a TAs conocidos y correos electrónicos cifrados usados en las negociaciones. Además, existen pruebas de que el acusado empleó herramientas como Tor y canales cifrados en Telegram y Signal para coordinarse con los ciberdelincuentes, así como frameworks de post-explotación como Cobalt Strike para asesorar sobre la persistencia del atacante en los sistemas afectados.

### Impacto y Riesgos

El caso destaca el riesgo inherente a la externalización de negociaciones de ransomware, especialmente cuando los intermediarios carecen de supervisión o mecanismos de auditoría. Según estadísticas recientes, el 67% de las empresas afectadas por ransomware optan por negociar, y de ellas, el 30% lo hace a través de terceros. Un actor deshonesto puede facilitar información privilegiada a los atacantes, inflar los importes de rescate o incluso colaborar en la filtración de datos para presionar a las víctimas.

A nivel económico, se estima que el volumen de pagos en 2023 superó los 1.100 millones de dólares, cifras que podrían verse incrementadas artificialmente por prácticas fraudulentas como las investigadas. Además, la implicación de un negociador en actividades criminales expone a las organizaciones a investigaciones regulatorias, sanciones bajo la GDPR (hasta el 4% de la facturación global anual) y acciones legales por parte de clientes y socios.

### Medidas de Mitigación y Recomendaciones

Ante este escenario, los expertos recomiendan a los CISOs y responsables de respuesta a incidentes:

– **Auditar exhaustivamente** a cualquier tercero o negociador involucrado en la gestión de incidentes de ransomware.
– **Establecer cláusulas contractuales** que exijan transparencia total y trazabilidad de las comunicaciones y pagos.
– **Colaborar activamente** con las fuerzas y cuerpos de seguridad y notificar cualquier incidente conforme a la NIS2 y la GDPR.
– **Utilizar plataformas seguras y monitorizadas** para las negociaciones, evitando canales opacos o cifrados no controlados.
– **Formar al personal** en procedimientos de respuesta a ransomware y en la identificación de posibles conflictos de intereses.
– **Valorar la aplicación de políticas de no pago**, siguiendo las recomendaciones de la ENISA, para desincentivar el ecosistema del ransomware.

### Opinión de Expertos

Consultores de firmas como Kroll, Mandiant y CrowdStrike advierten que “la profesionalización de la negociación no puede ser sinónimo de impunidad”. Consideran imprescindible que los negociadores sean sujetos de certificaciones independientes y que exista un registro de actividades, similar al de los peritos judiciales. Además, apuntan al riesgo reputacional para los proveedores de ciberseguridad si uno de sus colaboradores se ve implicado en prácticas ilícitas.

### Implicaciones para Empresas y Usuarios

Para las empresas, este caso supone una llamada de atención sobre la necesidad de ejercer un control exhaustivo sobre todos los actores que intervienen en la respuesta a incidentes. La confianza ciega en intermediarios puede derivar en mayores pérdidas económicas, sanciones regulatorias y daño reputacional. Los usuarios finales, por su parte, deben exigir transparencia a sus proveedores y optar por soluciones que minimicen la exposición ante ataques de ransomware.

### Conclusiones

Este incidente podría marcar un antes y un después en la gestión de negociaciones con bandas de ransomware, llevando a una mayor regulación y control sobre los intermediarios y sus actividades. La colaboración con los atacantes, más allá de ser un dilema ético, constituye un riesgo legal y operativo que ninguna organización puede permitirse ignorar. La transparencia, la trazabilidad y la supervisión serán, en adelante, elementos clave en cualquier estrategia de respuesta a ransomware.

(Fuente: www.bleepingcomputer.com)