el fbi incauta 28 millones de dolares a un operador del ransomware zeppelin

El FBI incauta 2,8 millones de dólares a un operador del ransomware Zeppelin

PorCarlos Ribeiro

El Departamento de Justicia de Estados Unidos acaba de dar un golpe importante contra uno de los operadores del ransomware Zeppelin. Además de presentar cargos formales, han confiscado más de 2,8 millones de dólares en criptomonedas, 70.000 dólares en efectivo y hasta un vehículo de lujo. Un caso que demuestra que el fraude digital, por muy sofisticado que sea, puede acabar dejando un rastro que lleva a sus perpetradores.

Quién es Ianis Antropenko y cómo operaba

Ianis Aleksandrovich Antropenko, el individuo acusado, no era precisamente discreto en su estilo de vida. Mientras empresas, organizaciones y particulares sufrían para recuperar sus datos secuestrados, él aparentemente disfrutaba de coches de alta gama financiados con el dolor ajeno.

El modus operandi era el clásico de este tipo de ataques: infiltración en sistemas, cifrado de datos críticos y posterior extorsión. «Págame o pierdes todo y, además, publicaré tu información sensible». Un chantaje digital en toda regla que ha resultado extremadamente lucrativo hasta que las autoridades le siguieron el rastro.

Siguiendo el dinero: cómo las criptomonedas no son tan anónimas como parecen

Uno de los aspectos más interesantes del caso es cómo Antropenko y sus cómplices intentaron ocultar el origen de los fondos. Utilizaron servicios como ChipMixer, un mezclador de criptomonedas que fue desmantelado en 2023, para dificultar el rastreo de las transacciones.

Es curioso, pero muchos ciberdelincuentes siguen pensando que las criptomonedas son completamente anónimas. La realidad es muy distinta. El blockchain es un libro contable público y, aunque los servicios de mezclado complican el análisis, las agencias de seguridad han desarrollado técnicas cada vez más sofisticadas para seguir el dinero.

Lo interesante es que, además de los métodos digitales, recurrieron a técnicas tradicionales: convertir las criptomonedas en efectivo para luego realizar depósitos estructurados (pequeñas cantidades) en diferentes cuentas. Una mezcla de alta tecnología y métodos antiguos de blanqueo que no les sirvió para evadir a las autoridades.

Zeppelin: un ransomware de ataque dirigido

Detectado por primera vez en 2019, Zeppelin no era un ransomware cualquiera. Derivado de la familia Vega (también conocido como VegaLocker), este malware destacaba por un enfoque muy selectivo. No iba a por cualquiera: se especializaba en atacar organizaciones de salud y tecnológicas, principalmente en Europa y Estados Unidos.

A diferencia de otros ransomware que se distribuyen masivamente, Zeppelin formaba parte de lo que se conoce como RaaS (Ransomware-as-a-Service), donde los desarrolladores alquilan su código malicioso a otros ciberdelincuentes que se encargan de distribuirlo. Un modelo de negocio criminal que ha florecido en la última década.

Técnicas de infiltración

En 2022, tanto la CISA (Agencia de Ciberseguridad de Estados Unidos) como el FBI emitieron advertencias sobre las técnicas de acceso utilizadas por los operadores de Zeppelin. Aprovechaban principalmente:

  • Conexiones RDP (Protocolo de Escritorio Remoto) mal protegidas
  • Vulnerabilidades en los firewalls de SonicWall

Una vez dentro, los atacantes mostraban una persistencia inquietante: ejecutaban el ransomware múltiples veces en la misma red para asegurarse de que encriptaban todos los datos posibles.

El declive de Zeppelin y las lecciones aprendidas

Lo curioso del caso es que, para cuando las autoridades publicaron sus advertencias en 2022, Zeppelin ya había prácticamente desaparecido del mapa. En noviembre de ese mismo año se reveló algo sorprendente: la empresa de consultoría en ciberseguridad Unit 221B había encontrado fallos en el proceso de cifrado de Zeppelin a principios de 2020, lo que les permitió crear claves para descifrar los archivos afectados.

Este caso nos recuerda algo importante: incluso los programas maliciosos más sofisticados suelen tener vulnerabilidades que pueden ser aprovechadas por los expertos en seguridad. Y es que los ciberdelincuentes cometen errores, tanto en el código como en sus movimientos financieros.

Más allá del caso Zeppelin

El caso de Antropenko no es un hecho aislado. En el mismo periodo, hemos visto otros incidentes significativos:

  • Manpower sufrió una filtración de datos que afectó a 140.000 personas tras un ataque de ransomware
  • Minnesota tuvo que activar la Guardia Nacional como respuesta a un ciberataque
  • NASCAR confirmó el robo de información personal en otro ataque de ransomware

Estos casos demuestran que ningún sector está a salvo de este tipo de estafas, y que las consecuencias van mucho más allá de lo económico, afectando a la privacidad de miles de personas y, en ocasiones, obligando a respuestas sin precedentes por parte de las autoridades.

¿El fin de la impunidad?

Casos como el de Antropenko nos dan cierta esperanza. Durante años, muchos operadores de ransomware actuaban con una sensación de impunidad casi total, especialmente si operaban desde países con escasa cooperación judicial con Occidente.

Sin embargo, la creciente sofisticación de las técnicas de investigación financiera, la mejor colaboración internacional y los errores de los propios delincuentes están cambiando el panorama. No es que el ransomware vaya a desaparecer, ni mucho menos, pero al menos ahora hay más posibilidades de que quienes se dedican a esta actividad criminal acaben enfrentándose a la justicia.

Como comentamos en secciones anteriores sobre otras amenazas, la clave sigue siendo la prevención: copias de seguridad aisladas, parcheado de sistemas, autenticación multifactor y, sobre todo, formación a los usuarios para que reconozcan posibles señales de este tipo de scam.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *