Microsoft ha asestado esta semana un golpe quirúrgico al corazón del ecosistema del ransomware: el servicio de firma de código fraudulento Fox Tempest, una sofisticada línea de montaje que vendía certificados digitales a grupos como Rhysida, Akira o Vanilla Tempest para que su malware sorteara los controles de seguridad.
Anatomía de la operación: Fox Tempest, la fábrica de firmas que vendía identidades digitales
La Unidad de Crímenes Digitales (DCU) de la compañía, con sede en Redmond, obtuvo una orden judicial que le permitió desmantelar toda la infraestructura: más de mil cuentas y portales utilizados por los ciberdelincuentes, así como cientos de máquinas virtuales que alojaban el código. Se trata de la mayor operación contra un servicio de firma maliciosa como servicio, una tendencia que eleva el riesgo al upstream de la cadena de ataque.
Le adelanto que el servicio no era un burdo falsificador callejero. Utilizaba identidades corporativas falsas y suplantaba a empresas legítimas para engañar al sistema Artifact Signing de Microsoft. Los atacantes pagaban hasta 9.500 dólares por certificado, una inversión minúscula comparada con los rescates millonarios que obtenían después. ‘Es como pagar calderilla para conseguir una llave maestra’, ironizó Steven Masada, abogado de la DCU.
Según me consta por fuentes cercanas al caso, la investigación se inició en septiembre de 2025. Fox Tempest operaba un portal autenticado con un simple arrastrar y soltar que permitía a cualquier grupo criminal firmar su malware con un par de clics. Automatización pura: el crimen como servicio en su máxima expresión.
El material firmado se desplegó en docenas de familias de malware: Oyster, Lumma Stealer, MuddyWater, Vidar… Todos ellos se colaban en redes de hospitales, universidades, gobiernos y entidades financieras, principalmente en Estados Unidos, Francia, India y China. Y sí, también en Europa. Alguien tenía que decirlo: la globalización de la ciberdelincuencia se ríe de las fronteras.
La DCU no se limitó a tirar la puerta abajo: desalojó a los operadores, borró las suscripciones y bloqueó el acceso al sitio que albergaba el código fuente. Maurice Mason, el investigador que lideró la cacería, explicó que ‘era tan escalable que resultaba irresistible para quienes extorsionan millones. ¿Por qué no pagar esos miles si el retorno es de diez, veinte, cien millones?’. Y añadió algo que me retumba en la cabeza: ‘esperamos que la disrupción eleve los costes para los atacantes y los mueva a usar otros servicios’. Lo veo yo con más escepticismo: los cerrojos se abren por otro lado.
La ciberdelincuencia ya no engaña a usuarios, explota los sistemas que usamos para decidir qué es seguro. Ahí está la nueva línea de frente.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza que abre Fox Tempest es inequívoco: un servicio de firma de código como servicio que actúa como habilitador de la cadena de suministro del ransomware. Más que una operación de malware concreta, estamos ante una plataforma de ingeniería de engaño a escala industrial. El atacante, Fox Tempest, un actor criminal financieramente motivado, ha demostrado que con mil certificados falsos se puede sortear la defensa perimetral de cualquier organización. El defensor, la DCU de Microsoft, ha respondido con una ofensiva legal y técnica de gran alcance, pero el tercer actor –los servicios de inteligencia y los CERT gubernamentales– observan con preocupación: si una banda puede suplantar identidades de firma, un Estado hostil podría replicar el modelo para introducir backdoors en actualizaciones de software legítimo, al estilo del SolarWinds de 2020.
Ya advertí en El quinto elemento que el próximo 11S empezará con un clic, y añado ahora que empezará por una actualización firmada por alguien en quien confiamos. La DCU ha cortado una cabeza de la hidra, pero la economía estratificada del cibercrimen no desaparece: se reorganiza. Como señaló el propio Masada, ‘en muchos casos un atacante ya no necesita construir un ataque desde cero; puede ensamblarlo comprando sus componentes’. La estructura sigue intacta: kits de phishing, malware como servicio, plataformas de bulletproof hosting, y ahora servicios de firma de código. La disrupción de Microsoft obligará a los operadores a moverse, quizás hacia certificados robados de autoridades de certificación reales o hacia el uso de infraestructura estatal. El escalón superior de la amenaza persistente avanzada (APT) está observando.
En nuestro país, el CCN-CERT y el CNI monitorizan de cerca las amenazas a la cadena de suministro de software. Fuentes de la Casa de Castelló confirman que las alertas sobre ataques de ransomware con componente de firma fraudulenta se han duplicado en el último año, y que el sector sanitario español ha estado en el punto de mira. La cooperación con la DCU es fluida, aunque la investigación se ha llevado con la discreción propia de una operación judicial en territorio estadounidense. Si me preguntan si estamos preparados para un Fox Tempest versión estatal, respondo con la misma frase que escribí en Desnudando a Google: ‘Los primeros que atacamos nuestra intimidad somos nosotros mismos’. La confianza ciega en el software firmado es una vulnerabilidad cultural.
El nivel de clasificación estimado del material utilizado en la operación es ‘Uso Restringido’ en el ámbito corporativo, pero a ojos de un servicio de inteligencia, los informes de inteligencia de amenazas y los hallazgos técnicos internos se sitúan en ‘Confidencial. No hay secretos de Estado en las tripas de Fox Tempest, pero sí un conocimiento detallado de los mecanismos de validación de Microsoft que podría ser explotado por actores más hostiles. Mientras tanto, el próximo informe del ODNI sobre amenazas en la cadena de suministro, previsto para el verano, probablemente recoja este caso como un ejemplo del nuevo escalón de la economía criminal. Habrá que leerlo con lupa.
