Cómo funciona la negociación de ransomware, y cómo un negociador traicionó a sus propios clientes

Un negociador de ransomware contratado para representar a víctimas fue condenado a seis años de prisión tras colaborar en secreto con los atacantes para ayudar a extorsionar cantidades mayores a sus propios clientes. Los fiscales declararon ante el tribunal que el acusado "vendió a las mismas víctimas que había sido contratado para representar".
La negociación de ransomware se ha convertido en los últimos años en una industria de rápido crecimiento pero en gran medida no regulada. Cuando una empresa sufre un ataque de ransomware, normalmente recurre a un negociador externo especializado, que se comunica con los atacantes para intentar reducir el importe del rescate, gestionar el proceso de pago y, cuando es posible, conseguir la devolución de los datos robados.
Este proceso suele ser una negociación extremadamente sensible y confidencial. Los negociadores actúan como especialistas capaces de comunicarse directamente con los atacantes, gestionar transferencias en criptomonedas y dirigir el proceso de forma que se proteja la reputación de la víctima. Debido a la naturaleza de este papel, los negociadores acceden a información altamente sensible sobre la identidad, las técnicas y las exigencias de los atacantes.
En este caso, se determinó que el acusado abusó de ese acceso. Según los documentos judiciales, el acusado filtraba a los atacantes información sobre la cantidad máxima que sus clientes podían permitirse pagar, lo que permitía a los atacantes ajustar sus exigencias de rescate con mayor eficacia. A cambio, el acusado recibía una parte del rescate cobrado.
Según los expertos, este caso pone al descubierto una debilidad fundamental del sector: no existe ningún mecanismo formal de certificación o supervisión que permita verificar la fiabilidad de un negociador. Las empresas que atraviesan una crisis se ven en gran medida obligadas a elegir un negociador basándose en su reputación y en recomendaciones de boca en boca.
Esta falta de rendición de cuentas también es motivo de preocupación para otros actores del sector. Algunos expertos en ciberseguridad señalan que el contacto regular de los negociadores con los atacantes puede, con el tiempo, crear condiciones en las que algunos negociadores desarrollen relaciones cercanas, incluso sospechosas, con grupos de atacantes.
El caso también ilustra lo complejo que se ha vuelto el ecosistema de la industria del ransomware en general. En un ecosistema formado por atacantes, negociadores, aseguradoras y expertos forenses, los intereses financieros de cada actor a veces pueden solaparse, lo que agrava los riesgos derivados de la falta de transparencia y supervisión.
Los fiscales afirmaron que esperan que la condena del acusado sirva de advertencia para el sector. Las autoridades señalan que casos similares ya habían sido vistos con sospecha, pero que este caso se encuentra entre las primeras condenas firmes respaldadas por pruebas concretas.
Los expertos sugieren que las empresas ahora deben realizar una diligencia debida mucho más rigurosa a la hora de elegir un negociador. Algunas aseguradoras han comenzado a ofrecer a sus asegurados listas de negociadores previamente examinados y con antecedentes verificados, lo que se considera un paso hacia una solución parcial del problema de confianza.
Este caso ilustra una vez más lo frágil que resulta la confianza como forma de capital en el mundo de la ciberseguridad. Una empresa ya vulnerable a un ataque puede acabar siendo explotada por segunda vez por la misma persona que contrató para protegerla, una señal de que el sector necesita mucha más transparencia de cara al futuro.
Para seguir leyendo
SpaceX quiere 100.000 satélites Starlink más para multiplicar por 100 el ancho de banda
SpaceX ha presentado una solicitud para ampliar su red de satélites Starlink mucho más allá de su tamaño actual, con el objetivo de multiplicar por 100 el ancho de banda total de la red. Así es como la empresa planea lograrlo, y por qué asegura necesitar una constelación de este tamaño.

Qué es la ofensiva de la UE contra la reproducción automática y el scroll infinito, y por qué Meta está en el punto de mira
La Unión Europea ha pedido a Meta que desactive funciones como la reproducción automática y el scroll infinito en virtud de la Ley de Servicios Digitales, o se enfrentará a fuertes multas. Según Ars Technica, la medida forma parte de una ofensiva regulatoria más amplia contra el diseño de las plataformas orientado a maximizar el enganche y el desplazamiento adictivo.

Qué es un qubit y por qué 20.000 de ellos importan para un ordenador cuántico viable
La startup de computación cuántica Oratomic ha recaudado 300 millones de dólares para un proyecto que busca construir un ordenador cuántico viable usando solo 20.000 qubits. Según TechCrunch, esa cifra desafía la suposición habitual del sector de que se necesitan millones de qubits. Entonces, ¿qué es exactamente un qubit, y por qué importa tanto su número?

La salida a bolsa récord de 26.500 millones de dólares de SK Hynix, y la presión para construir fábricas en EE. UU.
El fabricante surcoreano de chips de memoria SK Hynix recaudó 26.500 millones de dólares en la mayor salida a bolsa extranjera de la historia del mercado bursátil estadounidense, un hito impulsado por el auge de la demanda de chips de IA. Según TechCrunch, el debut también ha puesto al fabricante bajo presión para construir nuevas fábricas en suelo estadounidense.

Por qué los centros de datos de IA están disparando las emisiones de carbono de las grandes tecnológicas
Las emisiones de carbono de Microsoft aumentaron un 25 por ciento el año pasado, según su propio informe de sostenibilidad, mientras la empresa ampliaba la capacidad de sus centros de datos para satisfacer la demanda de cómputo de IA. El aumento ilustra una tensión más amplia que enfrentan las grandes tecnológicas entre sus compromisos climáticos y el apetito energético de la IA generativa.