**El grupo de ransomware Medusa intenta captar a un periodista de la BBC como amenaza interna**
—
### 1. Introducción
En un giro inusual dentro del panorama de amenazas, actores vinculados al grupo de ransomware Medusa han intentado reclutar a un periodista de la BBC como insider, ofreciéndole una suma significativa de dinero a cambio de su colaboración. Este incidente, más allá de su naturaleza mediática, pone de manifiesto la creciente sofisticación y audacia de los grupos de ransomware, que ya no se conforman con vulnerabilidades técnicas y phishing, sino que buscan explotar el factor humano incluso en medios de comunicación internacionales.
—
### 2. Contexto del Incidente
Durante el mes de junio de 2024, un corresponsal de la BBC fue contactado por individuos que afirmaban representar al grupo de ransomware Medusa. A través de canales de mensajería cifrada y redes sociales, los atacantes ofrecieron una cuantiosa suma económica si el periodista accedía a actuar como insider, facilitando acceso a sistemas internos o información sensible de la organización. Este enfoque representa una ampliación de las tácticas habituales del grupo, tradicionalmente centradas en la explotación de vulnerabilidades técnicas y campañas de phishing dirigidas contra organizaciones públicas y privadas.
Medusa es conocido desde 2021 por operar bajo un modelo de ransomware-as-a-service (RaaS), lo que ha permitido la proliferación de afiliados y la diversificación de sus objetivos y modus operandi. La captación de insiders es una tendencia al alza, especialmente desde 2023, con un incremento del 28% en incidentes que involucran amenazas internas, según el último informe de Verizon DBIR.
—
### 3. Detalles Técnicos
**CVE y Vectores de Ataque**
Aunque en este caso no se documenta el uso de un exploit específico, Medusa históricamente ha aprovechado vulnerabilidades de alto perfil como CVE-2023-0669 (vulnerabilidad de ejecución remota de código en GoAnywhere MFT) y CVE-2024-21412 (Zero-Day en Microsoft Defender SmartScreen). Sin embargo, el vector de ataque reportado en este incidente es puramente social: la ingeniería social dirigida (spear phishing) y la captación directa de insiders.
**TTPs y Frameworks**
La aproximación corresponde a la táctica T1071 (Application Layer Protocol) y T1078 (Valid Accounts) del framework MITRE ATT&CK. La creación y explotación de cuentas legítimas, combinada con la obtención de acceso interno mediante manipulación de personal, representa un salto cualitativo en la cadena de ataque.
No se ha reportado la utilización de frameworks como Metasploit o Cobalt Strike en esta fase, aunque Medusa es conocido por emplear Cobalt Strike en etapas posteriores, tras la obtención de acceso inicial, para movimiento lateral y exfiltración de datos.
**Indicadores de Compromiso (IoC)**
– Direcciones de correo y usuarios de Telegram asociados a Medusa.
– Dominios de paneles de mando alojados en Tails o servicios onion.
– Hashes de ejecutables de ransomware personalizados detectados en incidentes previos.
—
### 4. Impacto y Riesgos
El intento de reclutamiento de insiders amplía el espectro de riesgos más allá de la ciberdefensa tradicional. El impacto potencial incluye:
– Acceso no autorizado a información sensible antes de su publicación.
– Exposición de fuentes, investigaciones en curso o datos personales, en violación del GDPR.
– Sabotaje o manipulación de sistemas internos (CMS, servidores de correo, etc.).
– Riesgo de demandas y sanciones regulatorias bajo la NIS2 y la GDPR, que prevén multas de hasta el 4% de la facturación global.
Según estimaciones de IBM, el coste medio de una brecha originada por un insider supera los 15 millones de dólares, un 30% más elevado que las provocadas por amenazas externas.
—
### 5. Medidas de Mitigación y Recomendaciones
– **Concienciación y formación continua:** Refuerzo de campañas de sensibilización para empleados sobre técnicas de ingeniería social y riesgos de amenazas internas.
– **Segregación de privilegios:** Aplicación estricta del principio de mínimo privilegio en sistemas críticos.
– **Monitorización y DLP:** Implementación de soluciones de Data Loss Prevention (DLP) y monitorización de actividad sospechosa en endpoints y redes internas.
– **Verificación de integridad:** Auditorías periódicas de cuentas privilegiadas y logs de acceso.
– **Canales de denuncia anónima:** Fomentar la comunicación interna para reportar acercamientos sospechosos o intentos de captación.
—
### 6. Opinión de Expertos
Especialistas en ciberinteligencia consultados destacan que “la profesionalización de los grupos de ransomware y su apuesta por la captación de insiders demuestran que la defensa debe ir mucho más allá de la mera protección perimetral”. Según Andrés Núñez, analista senior en Threat Intelligence, “la combinación de ingeniería social y explotación de vulnerabilidades internas está a la vanguardia de las amenazas actuales”.
—
### 7. Implicaciones para Empresas y Usuarios
Este incidente subraya la necesidad de abordar la seguridad desde una perspectiva holística. Las organizaciones deben contemplar tanto la protección tecnológica como la gestión de riesgos humanos. Para los profesionales del sector, resulta clave actualizar protocolos internos, revisar políticas de acceso y fortalecer la cultura de ciberseguridad entre todos los empleados, no solo el área técnica.
La tendencia registrada en los últimos años indica que los grupos de ransomware seguirán buscando insiders en sectores clave como medios de comunicación, sanidad, logística y administraciones públicas, aprovechando factores como el descontento laboral o la falta de controles internos.
—
### 8. Conclusiones
El intento del grupo Medusa de reclutar a un periodista de la BBC como insider revela la evolución constante de las amenazas ransomware y la importancia de la ciberseguridad centrada en el factor humano. Los profesionales del sector deben intensificar las estrategias de prevención y respuesta ante estas tácticas híbridas, combinando tecnología, formación y vigilancia activa para anticipar y mitigar los riesgos emergentes.
(Fuente: www.bleepingcomputer.com)