El organismo gubernamental de EE. UU. pagó $1M en extorsión por robo de datos.
TL;DRA Una entidad del gobierno de EE. UU. pagó alrededor de $1 millón al grupo de extorsión Kairos para mantener privados los archivos robados, según un estudio de caso de Ransom-ISAC basado en un chat de negociación filtrado y un análisis de blockchain. Las pistas apuntan al Condado de Union, Ohio, aunque ninguna de las partes lo ha confirmado. El caso ilustra cuánto de lo que hoy se llama "ransomware" no implica en absoluto cifrado.
Una entidad del gobierno de EE. UU. pagó alrededor de $1 millón para detener la publicación de archivos robados, según un estudio de caso del investigador Rakesh Krishnan para Ransom-ISAC. El análisis se basa en un chat de negociación filtrado y la pista de blockchain que dejó el pago.
El grupo detrás del acuerdo se llama Kairos, pero puede que no sea una pandilla de ransomware en ningún sentido tradicional. Krishnan supuestamente no encontró cifrador, ni bloqueador, ni demanda de una clave de descifrado, solo archivos robados y un precio para mantenerlos privados.
El estudio de caso no nombra a la víctima, pero los nombres de archivo en las muestras de prueba de robo, incluido un archivo llamado union.rar, apuntan al Condado de Union, Ohio. Ni el condado ni Kairos han confirmado la conexión, y The Hacker News dice que ha contactado al condado para obtener comentarios.
Las pistas coinciden con un incidente real. En mayo de 2025, el Condado de Union detectó ransomware en su red y luego notificó a 45,487 personas que datos, incluidos números de Seguro Social, huellas dactilares y detalles de pasaporte, habían sido robados.
Si la identificación es correcta, un condado de aproximadamente 70,000 residentes hizo un pago de $1 millón que nunca divulgó públicamente. El atacante supuestamente presionó más sobre una carpeta marcada como "oficina de fiscales", advirtiendo que una filtración ayudaría a los criminales a evadir cargos.
Anatomía de un acuerdo de $1 millón
La negociación duró aproximadamente un mes, según el estudio de caso. Kairos comenzó en $3 millones y afirmó tener más de 2TB de datos en unos 1.6 millones de archivos.
El condado supuestamente contraofertó en $100,000 y subió lentamente a $430,000, mientras que Kairos bajó a $2 millones antes de fijar un plazo final de $1 millón. La víctima pagó el 13 de junio de 2025, diez veces su oferta inicial.
El pago de aproximadamente 9.44 bitcoin coincidió con alrededor de $1 millón a los precios del mercado de esa semana. En pocas horas, supuestamente se dividió y se enrutó a través de una cadena de billeteras hacia depósitos en Bybit, OKX y BELQI, un servicio ruso que recuerda el lavado de ransomware anterior a través de WEX y BTC-e.
El rastreo de este tipo proporciona a los investigadores pistas en lugar de identidades. Las bandas criminales han pasado años refinando cómo lavan criptomonedas a través de mulas, mezcladores e intercambios poco regulados.
Lo que compró el dinero es otra pregunta. Kairos entregó un archivo de "prueba de eliminación", pero una lista de nombres de archivos solo prueba que el atacante una vez tuvo los datos, y las promesas de eliminar datos robados se han deshecho antes.
Ransomware sin el ransomware
El Condado de Union describió el incidente como ransomware, sin embargo, nada en el caso de Kairos fue alguna vez cifrado. Una parte creciente de lo que aún lleva esa etiqueta ahora omite completamente los bloqueadores y utiliza los datos robados como punto de presión, un manual que las recientes violaciones solo de extorsión también han dirigido al sector privado.
Sophos informó en 2025 que solo alrededor de la mitad de los ataques de ransomware involucraban cifrado, bajando del 70% un año antes y la tasa más baja en seis años. Silent Ransom Group, un desprendimiento del ecosistema Conti, ha pasado años ejecutando extorsiones sin cifrado contra firmas legales de EE. UU., recibiendo repetidas advertencias del FBI.
El arco de negociación también es familiar. Cuando los chats internos de Black Basta se filtraron en febrero de 2025, un acuerdo pasó de una demanda de $1.5 millones a una contraoferta de $100,000 y un pago de $1 millón, casi la misma curva.
Kairos en sí mismo ha permanecido en silencio, con su sitio de filtraciones fuera de línea y su última víctima conocida publicada en junio de 2026, según el estudio de caso. Se informó que una billetera vinculada aún movía fondos en mayo, por lo que un sitio de filtraciones oscuro no debería interpretarse como una tripulación retirada.
Lecciones poco glamorosas
Para las pequeñas redes gubernamentales, las conclusiones son deliberadamente aburridas. Kairos afirmó que entró adivinando una contraseña, por lo que la autenticación multifactor y las alertas sobre intentos de inicio de sesión fallidos repetidos habrían aumentado considerablemente el costo de entrada.
Los defensores también deben vigilar las transferencias salientes y los enlaces de intercambio de archivos desechables, como las direcciones temp.sh que usó el atacante, y mantener los registros legales y ciudadanos segmentados de la red más amplia. Sobre todo, el recibo de un ladrón por datos eliminados vale exactamente lo que costó escribirlo.
Otros artículos
El organismo gubernamental de EE. UU. pagó $1M en extorsión por robo de datos.
Un chat filtrado y un rastro de bitcoin muestran que una entidad del gobierno de EE. UU. pagó a Kairos $1 millón para suprimir archivos robados, sin involucrar cifrado, con pistas que apuntan a Ohio.
