En el mundo de la ciberseguridad, las tácticas de los delincuentes evolucionan constantemente. Un caso reciente ha puesto de manifiesto una nueva tendencia preocupante: la extorsión sin ransomware. En mayo de 2026, una entidad gubernamental en Ohio se vio obligada a pagar $1 millón para evitar que datos sensibles fueran filtrados por un grupo de ciberdelincuentes conocido como Kairos.
Lo más sorprendente de este caso es que, a diferencia de los ataques tradicionales de ransomware Kairos no utilizó ningún tipo de cifrado. En lugar de eso, simplemente robó los datos y amenazó con hacerlos públicos si no se les pagaba. Esta estrategia, conocida como data-theft extortion está ganando popularidad entre los ciberdelincuentes.
El caso de Union County
Aunque la entidad afectada no ha sido nombrada públicamente, las pruebas apuntan a que se trata de Union County, Ohio. Los archivos robados incluyen documentos con nombres como Union.xlsx y 1 union co psi template.doc así como una carpeta etiquetada como prosecutors office. Los delincuentes amenazaron con filtrar estos datos, lo que podría haber ayudado a los criminales a eludir cargos.
En mayo de 2026, Union County detectó una intrusión en su red y notificó a 45,487 residentes y empleados que sus datos habían sido comprometidos. Los registros robados incluían números de Seguridad Social detalles financieros, huellas dactilares y números de pasaporte. La gravedad de la situación llevó a la entidad a negociar con los delincuentes.
La negociación y el pago
La negociación entre Union County y Kairos duró aproximadamente un mes. Los delincuentes comenzaron pidiendo $3 millones y afirmaron tener más de 2 terabytes de datos, equivalentes a 1.6 millones de archivos. La entidad afectada comenzó ofreciendo $100,000, pero la oferta final fue de $1 millón, pagadero antes del viernes o los datos serían filtrados.
El pago se realizó en bitcoin aproximadamente 9.44 BTC, que en ese momento equivalían a $1 millón. Según el análisis de la cadena de bloques, el dinero fue dividido y transferido a través de varias billeteras hacia los intercambios BybitOKX y un servicio ruso llamado BELQI.
La eficacia del pago
Kairos proporcionó un comprobante de eliminación pero este solo demostraba que los delincuentes habían tenido acceso a los archivos, no que los hubieran eliminado. En otras palabras, el pago no garantizó la eliminación de los datos robados. Esta situación subraya la naturaleza de fe que implica pagar a los extorsionadores.
La evolución del ransomware
El caso de Kairos no es aislado. Según un informe de Sophos en 2026, solo alrededor de la mitad de los ataques de ransomware involucran cifrado, la tasa más baja en seis años. Grupos como el Silent Ransom Group una rama de Conti, han estado realizando extorsiones sin cifrado durante años, dirigiéndose a firmas de abogados y empresas de finanzas en Estados Unidos.
La estrategia de Kairos se asemeja a la de otros grupos de ciberdelincuentes. Por ejemplo, las conversaciones internas filtradas de Black Basta en febrero de 2026 revelaron una negociación similar, donde la demanda inicial de $1.5 millones se redujo a $1 millón después de varias rondas de negociación.
Lecciones aprendidas
Para las pequeñas redes gubernamentales, las lecciones son claras y conocidas. Kairos afirmó haber ingresado simplemente adivinando una contraseña, lo que subraya la importancia de la autenticación multifactor. Además, es crucial monitorear los intentos de inicio de sesión fallidos, las transferencias de datos masivas y los enlaces de intercambio de archivos temporales.
Segmentar los registros legales, de recursos humanos y de ciudadanos del resto de la red también es una medida preventiva efectiva. Sin embargo, lo más importante es tratar cualquier promesa de eliminación de datos robados como una garantía sin valor. En última instancia, la recepción de la eliminación está escrita por el ladrón, y no hay manera de verificar su autenticidad.



