En un golpe sin precedentes contra el cibercrimen, la Operación Cronos, liderada por autoridades de diez naciones, ha desmantelado las operaciones del grupo de ransomware LockBit, exponiendo los alias de casi 200 afiliados que participaron en ataques contra empresas e instituciones mexicanas entre 2022 y 2024. Entre las víctimas en México se encuentran el Aeropuerto Internacional de Querétaro y Grupo DINA, S.A., cuyos sistemas fueron infectados y sus datos secuestrados mediante ransomware.
Detalles de la operación
La Agencia Nacional del Crimen del Reino Unido (NCA), que asumió el control del sitio web de LockBit, publicó una lista de implicados en ataques globales. Además de interrumpir las actividades del grupo, las autoridades buscan evidenciar a todos los participantes para arrestarlos o intimidarlos y que abandonen sus actividades ilícitas. La operación logró tomar casi 11 mil dominios y servidores de LockBit en todo el mundo, congeló cerca de 200 cuentas de criptomonedas y accedió a más de mil llaves de cifrado, lo que permitirá apoyar a las víctimas.
Recompensas y arrestos
Autoridades de Estados Unidos y el Reino Unido anunciaron el arresto de dos personas, una en Ucrania y otra en Polonia, relacionadas con el grupo. Asimismo, se ofrece una recompensa de hasta diez millones de dólares por información que lleve a la identificación y detención de los líderes de LockBit, y hasta cinco millones por datos de los afiliados.
Impacto en México
Las investigaciones revelan que en México, además del Aeropuerto Internacional de Querétaro y Grupo DINA, otras entidades como Foxconn/Tijuana, los Servicios de Salud de Veracruz, y empresas como Telepro, Ragasa y Grupo Martex fueron víctimas del ransomware. Los ciberdelincuentes exigieron pagos para liberar la información secuestrada.
Mecanismo de afiliación
Para convertirse en afiliados de LockBit, los prospectos debían pasar una entrevista y depositar un bitcoin como medida de protección contra autoridades y expertos en ciberseguridad. La NCA publicó una lista de casi 200 afiliados, clasificados en desarrolladores (creadores del software malicioso) y afiliados que operan bajo el esquema de ransomware como servicio, donde LockBit recibe un porcentaje del rescate.
Reacciones y perspectivas
Alexander Zabrovsky, analista de Kaspersky, señaló que LockBit sirvió como modelo para muchos ciberdelincuentes, y que la estrategia de las autoridades, incluyendo la detención de socios y la modificación del sitio web del grupo, puede tener un impacto psicológico profundo, llevando a algunos a abandonar sus actividades. Sin embargo, advirtió que es factible que surja otro grupo que llene el vacío y aprenda de los errores de LockBit, por lo que recomendó fortalecer las defensas en empresas, gobiernos y organizaciones.
