HomeNoticiasConti: la organización cibercriminal rusa que sembró el terror en Latinoamérica y se esfumó
NOTICIAS

Conti: la organización cibercriminal rusa que sembró el terror en Latinoamérica y se esfumó

COSTA RICA / 27 JUN 2022 POR SCOTT MISTLER-FERGUSON ES

Hace dos meses, Conti, una de las organizaciones cibercriminales más temidas del mundo, lanzó ataques contra sitios web de los gobiernos de Perú y Costa Rica. Sin embargo, desapareció del radar poco tiempo después.

En abril pasado, un grupo cibercriminal ruso, conocido como Conti, atacó numerosos sitios web institucionales en varios países de la región, como resultado de lo cual robó una gran cantidad de datos y amenazó con divulgarlos a menos que se pagara un rescate. Costa Rica fue el país más afectado, y aunque el gobierno se negó a pagar, la recuperación de su infraestructura informática ha sido muy lenta.

El sitio web del instituto de seguridad social seguía caído a finales de junio y los servicios ofrecidos en la página del Ministerio de Finanzas solo se reanudaron desde el 13 de junio, según medios locales. Además, los directivos de informática del gobierno han sido suspendidos temporalmente mientras se desarrollan las investigaciones.

Esto puso fin a una época de fama global para Conti, que en 2021 se jactó de haber perpetrado más ataques de ransomware que cualquier otro grupo. Desde entonces, el grupo ha estado silencioso y hay expertos que afirman que planeó desintegrarse.

InSight Crime analiza por qué un grupo criminal tan temible habría decidido separarse y lo que sigue para su marca criminal.

VEA TAMBIÉN: Secuestro de datos en Perú y Costa Rica vaticina más problemas para la región

Fuera con lo viejo

La banda cibernética Conti se especializaba en el robo y encriptado de datos sensibles, que usaba para extorsionar "a grandes presas", como corporaciones o gobiernos. Múltiples instituciones latinoamericanas han sido víctimas de este tipo de extorsión, gracias al atraso en sus prácticas de seguridad informática. Conti se apresuró a señalar en público las debilidades que hallaba en sus blancos, como cuando reveló que la Dirección Nacional de Inteligencia de Perú no tenía encriptados los datos de su red.

Pero en febrero de 2022, la organización sufrió un duro golpe después de divulgar un pronunciamiento en respaldo de la reinvasión de Ucrania por parte de Rusia. Luego de esto las empresas estuvieron cada vez menos dispuestas a pagar las exigencias de rescate de Conti. La práctica podría responder al deseo de las empresas evitar el riesgo de infringir las sanciones internacionales al pagar a una organización que ahora se asocia con la guerra en Ucrania, o ganarse la ira del gobierno estadounidense.

Además, un miembro de Conti, al parecer de origen ucraniano, filtró casi dos años de registros de conversaciones entre miembros de la organización, lo que dio información invaluable sobre el funcionamiento interno de la pandilla a las autoridades.

Según el experto en ciberseguridad Yelisey Bogusalvskiy, este fue un punto de no retorno para Conti. Pero no fue un motivo de celebración. "Después de ese pronunicamiento, ellos simplemente no recibieron ningún pago", afirmó Bogusalvskiy, y agregó "eso en realidad motivó una renovación, que los hizo más peligrosos que antes".

Cómo se diluye una marca

Al reconocer que la marca Conti había terminado enredada en asuntos geopolíticos, la organización comenzó a formar alianzas, asociaciones indefinidas o fusiones a gran escala con otras organizaciones cibercriminales para ajustarse a un modelo más federado y descentralizado.

Tal como se han dividido los grandes carteles de la droga de antaño y se han fragmentado en enjambres de células narcotraficantes de menor tamaño en gran parte de Latinoamérica, así parecen estar fragmentándose uno de los actores más adaptables en el cibercrimen.

La caída de Conti no es el fin de un gigante de los delitos cibernéticos; apenas una dilución. Según Bogusalvskiy, los líderes de Conti tuvieron un preaviso y conformaron alianzas con otras bandas de ransomware reconocidas, como ALPHV/BlackCat, KaraKurt, y BlackByte, entre otras.

En medio de ese ejercicio de reposicionamiento de marca, la organización lanzó, con bombos y platillos, su ataque a Costa Rica. A pesar del daño que causó, que llevó al gobierno a declarar el estado de emergencia nacional, no se llegó a hacer ningún pago.

Según Bogusalvskiy, Conti nunca esperó recibir dinero. "Querían crear este marco en el que Conti sigue existiendo en teoría y siguen operativos y poderosos, con la capacidad para perpetrar ataques a gran escala" En realidad, Bogusalvskiy afirma que su demanda de rescate inicial fue de menos de US$1 millón simplemente porque sabían que nunca les pagarían, y el ataque fue apenas una distracción de la realidad de que la cúpula de Conti ya había encontrado bases entre sus nuevos aliados.

El ataque de la ciberbanda en Costa Rica no fue accidental. Steph Shample, experta en cibersecuridad y asociada del Middle East Institute, confirmó a InSight Crime que en lo que respecta a la preparación, Conti se aparta de los demás. "Son más cuidadosos y cautos en su pesquisa. Se ajustan a las víctimas que quieren perseguir”, afirmó Shample.

VEA TAMBIÉN: Cibercrimen amenaza a Latinoamérica en cuarentena por coronavirus

La evolución del secuestro de datos

Entonces, ¿quién tomará el control de Conti? Para mediados de junio, dos federaciones criminales parecen erigirse por encima de las demás: Conti y sus multitudes de organizaciones afiliadas y las asociadas con LockBit.

Este último es un proveedor de servicios de secuestro de datos (Ransomware-as-a-Service, RaaS) que alquila sus programas a una multitud de clientes y se lleva una parte de las ganancias. Al igual que Conti, LockBit ha optado por un modelo más descentralizado que sus predecesores, y funge más como nodo central para una red más amplia de bandas cibernéticas semiautónomas que una organización jerárquica.

Donde grupos como Conti se esfuerzan por la calidad, tanto en la ejecución como en el proceso de negociación con sus víctimas, grupos como LockBit optan por la cantidad.

Como organización de RaaS, LockBit ha seguido un enfoque menos sofisticado basado simplemente en el alquiler de sus programas de secuestro de datos a actores criminales de menor nivel. Dicha estrategia reduce las barreras de entrada a esos delitos cibernéticos. Los ataques de LockBit se han detectado en Chile, Colombia y Brasil. En abril, la secretaría de finanzas de Rio de Janeiro fue atacada, y los criminales sustrajeron casi 420 gigabytes de información.

Sin embargo, esto no implica que se esperen desembolsos exitosos.

“Al final, a los líderes de LockBit no se les paga, porque se supone que reciben un porcentaje de los pagos de rescates que sus afiliados cobran”, afirmó Bogusalvskiy. “Si esos afiliados no tienen éxito, si no pueden conseguir dinero, LockBit tampoco recibe un centavo”.

En resumen, aunque el RaaS y la proliferación de bandas de secuestro de datos más pequeñas eleva el riesgo de ataques, en países como Brasil, Chile y Colombia cada vez menos empresas nacionales pagarán a los cibercriminales a la par que incrementarán los recursos destinados a promover la adopción de leyes sobre ciberseguridad.

Actores más importantes, como Conti, que se adaptan con mayor sofisticación en términos de selección de objetivos y extracción o exfiltración de datos, serán entonces los actores criminales que se lleven las ganancias reales. 

Por el momento, los cómplices de Conti siguen atacando blancos latinoamericanos, como lo indica el anuncio de la Contraloría General de Perú de un ataque de BlackByte el 15 de junio. Ya la ciberbanda ha puesto a la institución en su “lista de la infamia” de víctimas, según la firma BetterCyber.

compartir icon icon icon

¿Este contenido fue útil?

Queremos seguir robusteciendo la base de datos más extensa sobre crimen organizado de América Latina, pero para eso necesitamos recursos.

DONAR

What are your thoughts? Click here to send InSight Crime your comments.

We encourage readers to copy and distribute our work for non-commercial purposes, with attribution to InSight Crime in the byline and links to the original at both the top and bottom of the article. Check the Creative Commons website for more details of how to share our work, and please send us an email if you use an article.

¿Este contenido fue útil?

Queremos seguir robusteciendo la base de datos más extensa sobre crimen organizado de América Latina, pero para eso necesitamos recursos.

DONAR

Contenido relacionado

CRIMEN CIBERNÉTICO / 1 MAR 2021

Una investigación sobre un grupo criminal liderado por rumanos radicados en México y especializado en saqueo de cajeros automáticos y…

CRIMEN CIBERNÉTICO / 27 OCT 2015

Un detallado estudio sobre los costos del crimen y la violencia en Latinoamérica concluye que tienen un profundo impacto económico…

COSTA RICA / 19 OCT 2015

La reciente redada a una operación de contrabando de cocaína ha dejado al descubierto la presencia de la mafia italiana…

Sobre InSight Crime

LA ORGANIZACIÓN

El Tren de Aragua, de Venezuela, ya se ha vuelto transnacional

29 JUL 2022

Esta semana, InSight Crime publicó un detallado análisis sobre el control total que la megabanda venezolana Tren de Aragua tiene sobre las vidas de las personas que trafica entre Venezuela…

LA ORGANIZACIÓN

Traficantes turcos llevan cocaína latinoamericana al Golfo Pérsico

15 JUL 2022

La semana pasada, InSight Crime publicó la segunda parte de una investigación sobre el papel emergente de los traficantes turcos de cocaína en el suministro a Rusia y el Golfo…

LA ORGANIZACIÓN

Turquía, eje del itinerario de la cocaína hacia Europa

8 JUL 2022

InSight Crime está ampliando su investigación sobre el itinerario de la cocaína hacia Europa, rastreando las crecientes conexiones entre los narcotraficantes estadounidenses y las organizaciones criminales europeas. Este cometido nos…

LA ORGANIZACIÓN

Cubrimiento sobre Memo Fantasma atrae atención mundial

1 JUL 2022

Guillermo Acevedo, el excomandante paramilitar y narcotraficante colombiano, más conocido como Memo Fantasma, pronto podría tener su carta de libertad en las manos. Desde que se reveló por primera vez…

LA ORGANIZACIÓN

¿Quiénes son Memo Fantasma y Sérgio Roberto de Carvalho?

24 JUN 2022

Una mirada a la trayectoria criminal de Memo Fantasma En marzo de 2020, InSight Crime reveló la identidad y el paradero de Memo Fantasma, comandante paramilitar y narcotraficante…