HomeNoticiasConti: la organización cibercriminal rusa que sembró el terror en Latinoamérica y se esfumó
NOTICIAS

Conti: la organización cibercriminal rusa que sembró el terror en Latinoamérica y se esfumó

COSTA RICA / 27 JUN 2022 POR SCOTT MISTLER-FERGUSON ES

Hace dos meses, Conti, una de las organizaciones cibercriminales más temidas del mundo, lanzó ataques contra sitios web de los gobiernos de Perú y Costa Rica. Sin embargo, desapareció del radar poco tiempo después.

En abril pasado, un grupo cibercriminal ruso, conocido como Conti, atacó numerosos sitios web institucionales en varios países de la región, como resultado de lo cual robó una gran cantidad de datos y amenazó con divulgarlos a menos que se pagara un rescate. Costa Rica fue el país más afectado, y aunque el gobierno se negó a pagar, la recuperación de su infraestructura informática ha sido muy lenta.

El sitio web del instituto de seguridad social seguía caído a finales de junio y los servicios ofrecidos en la página del Ministerio de Finanzas solo se reanudaron desde el 13 de junio, según medios locales. Además, los directivos de informática del gobierno han sido suspendidos temporalmente mientras se desarrollan las investigaciones.

Esto puso fin a una época de fama global para Conti, que en 2021 se jactó de haber perpetrado más ataques de ransomware que cualquier otro grupo. Desde entonces, el grupo ha estado silencioso y hay expertos que afirman que planeó desintegrarse.

InSight Crime analiza por qué un grupo criminal tan temible habría decidido separarse y lo que sigue para su marca criminal.

VEA TAMBIÉN: Secuestro de datos en Perú y Costa Rica vaticina más problemas para la región

Fuera con lo viejo

La banda cibernética Conti se especializaba en el robo y encriptado de datos sensibles, que usaba para extorsionar "a grandes presas", como corporaciones o gobiernos. Múltiples instituciones latinoamericanas han sido víctimas de este tipo de extorsión, gracias al atraso en sus prácticas de seguridad informática. Conti se apresuró a señalar en público las debilidades que hallaba en sus blancos, como cuando reveló que la Dirección Nacional de Inteligencia de Perú no tenía encriptados los datos de su red.

Pero en febrero de 2022, la organización sufrió un duro golpe después de divulgar un pronunciamiento en respaldo de la reinvasión de Ucrania por parte de Rusia. Luego de esto las empresas estuvieron cada vez menos dispuestas a pagar las exigencias de rescate de Conti. La práctica podría responder al deseo de las empresas evitar el riesgo de infringir las sanciones internacionales al pagar a una organización que ahora se asocia con la guerra en Ucrania, o ganarse la ira del gobierno estadounidense.

Además, un miembro de Conti, al parecer de origen ucraniano, filtró casi dos años de registros de conversaciones entre miembros de la organización, lo que dio información invaluable sobre el funcionamiento interno de la pandilla a las autoridades.

Según el experto en ciberseguridad Yelisey Bogusalvskiy, este fue un punto de no retorno para Conti. Pero no fue un motivo de celebración. "Después de ese pronunicamiento, ellos simplemente no recibieron ningún pago", afirmó Bogusalvskiy, y agregó "eso en realidad motivó una renovación, que los hizo más peligrosos que antes".

Cómo se diluye una marca

Al reconocer que la marca Conti había terminado enredada en asuntos geopolíticos, la organización comenzó a formar alianzas, asociaciones indefinidas o fusiones a gran escala con otras organizaciones cibercriminales para ajustarse a un modelo más federado y descentralizado.

Tal como se han dividido los grandes carteles de la droga de antaño y se han fragmentado en enjambres de células narcotraficantes de menor tamaño en gran parte de Latinoamérica, así parecen estar fragmentándose uno de los actores más adaptables en el cibercrimen.

La caída de Conti no es el fin de un gigante de los delitos cibernéticos; apenas una dilución. Según Bogusalvskiy, los líderes de Conti tuvieron un preaviso y conformaron alianzas con otras bandas de ransomware reconocidas, como ALPHV/BlackCat, KaraKurt, y BlackByte, entre otras.

En medio de ese ejercicio de reposicionamiento de marca, la organización lanzó, con bombos y platillos, su ataque a Costa Rica. A pesar del daño que causó, que llevó al gobierno a declarar el estado de emergencia nacional, no se llegó a hacer ningún pago.

Según Bogusalvskiy, Conti nunca esperó recibir dinero. "Querían crear este marco en el que Conti sigue existiendo en teoría y siguen operativos y poderosos, con la capacidad para perpetrar ataques a gran escala" En realidad, Bogusalvskiy afirma que su demanda de rescate inicial fue de menos de US$1 millón simplemente porque sabían que nunca les pagarían, y el ataque fue apenas una distracción de la realidad de que la cúpula de Conti ya había encontrado bases entre sus nuevos aliados.

El ataque de la ciberbanda en Costa Rica no fue accidental. Steph Shample, experta en cibersecuridad y asociada del Middle East Institute, confirmó a InSight Crime que en lo que respecta a la preparación, Conti se aparta de los demás. "Son más cuidadosos y cautos en su pesquisa. Se ajustan a las víctimas que quieren perseguir”, afirmó Shample.

VEA TAMBIÉN: Cibercrimen amenaza a Latinoamérica en cuarentena por coronavirus

La evolución del secuestro de datos

Entonces, ¿quién tomará el control de Conti? Para mediados de junio, dos federaciones criminales parecen erigirse por encima de las demás: Conti y sus multitudes de organizaciones afiliadas y las asociadas con LockBit.

Este último es un proveedor de servicios de secuestro de datos (Ransomware-as-a-Service, RaaS) que alquila sus programas a una multitud de clientes y se lleva una parte de las ganancias. Al igual que Conti, LockBit ha optado por un modelo más descentralizado que sus predecesores, y funge más como nodo central para una red más amplia de bandas cibernéticas semiautónomas que una organización jerárquica.

Donde grupos como Conti se esfuerzan por la calidad, tanto en la ejecución como en el proceso de negociación con sus víctimas, grupos como LockBit optan por la cantidad.

Como organización de RaaS, LockBit ha seguido un enfoque menos sofisticado basado simplemente en el alquiler de sus programas de secuestro de datos a actores criminales de menor nivel. Dicha estrategia reduce las barreras de entrada a esos delitos cibernéticos. Los ataques de LockBit se han detectado en Chile, Colombia y Brasil. En abril, la secretaría de finanzas de Rio de Janeiro fue atacada, y los criminales sustrajeron casi 420 gigabytes de información.

Sin embargo, esto no implica que se esperen desembolsos exitosos.

“Al final, a los líderes de LockBit no se les paga, porque se supone que reciben un porcentaje de los pagos de rescates que sus afiliados cobran”, afirmó Bogusalvskiy. “Si esos afiliados no tienen éxito, si no pueden conseguir dinero, LockBit tampoco recibe un centavo”.

En resumen, aunque el RaaS y la proliferación de bandas de secuestro de datos más pequeñas eleva el riesgo de ataques, en países como Brasil, Chile y Colombia cada vez menos empresas nacionales pagarán a los cibercriminales a la par que incrementarán los recursos destinados a promover la adopción de leyes sobre ciberseguridad.

Actores más importantes, como Conti, que se adaptan con mayor sofisticación en términos de selección de objetivos y extracción o exfiltración de datos, serán entonces los actores criminales que se lleven las ganancias reales. 

Por el momento, los cómplices de Conti siguen atacando blancos latinoamericanos, como lo indica el anuncio de la Contraloría General de Perú de un ataque de BlackByte el 15 de junio. Ya la ciberbanda ha puesto a la institución en su “lista de la infamia” de víctimas, según la firma BetterCyber.

compartir icon icon icon

¿Este contenido fue útil?

Queremos seguir robusteciendo la base de datos más extensa sobre crimen organizado de América Latina, pero para eso necesitamos recursos.

DONAR

What are your thoughts? Click here to send InSight Crime your comments.

We encourage readers to copy and distribute our work for non-commercial purposes, with attribution to InSight Crime in the byline and links to the original at both the top and bottom of the article. Check the Creative Commons website for more details of how to share our work, and please send us an email if you use an article.

¿Este contenido fue útil?

Queremos seguir robusteciendo la base de datos más extensa sobre crimen organizado de América Latina, pero para eso necesitamos recursos.

DONAR

Contenido relacionado

CONTRABANDO / 1 JUN 2022

Un reciente informe del grupo de expertos chileno AthenaLab muestra que Chile enfrenta una variedad cada vez mayor de amenazas…

COSTA RICA / 29 NOV 2021

Un nuevo informe indica que los recientes avances hechos en Costa Rica para proteger sus ricas poblaciones de tiburones y…

CRIMEN CIBERNÉTICO / 2 MAY 2022

Las capturas de tres personas en Venezuela por anuncios publicados en Facebook Marketplace en las que supuestamente se ofrecian riñones…

Sobre InSight Crime

LA ORGANIZACIÓN

Uso de datos para desenmascarar el crimen

14 NOV 2022

El codirector Jeremy McDermott hizo una presentación virtual en una conferencia organizada por la Oficina de las Naciones Unidas contra la Droga y el Delito (ONUDD), la “Sexta Conferencia Internacional…

LA ORGANIZACIÓN

InSight Crime AL AIRE

4 NOV 2022

El mes pasado, InSight Crime participó en el 11º período de sesiones de la Conferencia de las Partes (COP 11) de la Convención de las Naciones Unidas contra la Delincuencia…

LA ORGANIZACIÓN

Menciones en medios destacados

14 OCT 2022

La más reciente investigación de InSight Crime, “Las guerrillas colombo-venezolanas: la migración de la guerra de Colombia hacia Venezuela”, ha llamado la atención de los medios de comunicación...

LA ORGANIZACIÓN

“Patrullaje en la selva Maya” llega a los medios

7 OCT 2022

Nuestra reciente investigación “Patrullaje en la selva Maya: la lucha contra la tala ilegal en la frontera Guatemala-México” tuvo buena recepción por parte de diferentes medios internacionales.

LA ORGANIZACIÓN

Amplia cobertura de nuestra crónica sobre el guardaespaldas de un cartel

23 SEP 2022

Nuestra reciente investigación, El ‘guardaespaldas’ de un cartel en Tierra Caliente de México recibió una amplia cobertura mediática,…