El FBI emitió este martes una alerta urgente: el Silent Ransom Group, una operación de extorsión de datos que opera desde Rusia, está utilizando una táctica sin precedentes. El grupo no solo suplanta al soporte técnico por teléfono o phishing. En los últimos meses ha empezado a enviar operativos a las oficinas de bufetes de abogados estadounidenses para conectar físicamente dispositivos de almacenamiento y robar información directamente de las estaciones de trabajo. Una mutación del ransomware tradicional que convierte al cibercrimen en una amenaza con rostro humano y que, por primera vez, borra la línea entre el ataque remoto y la intrusión presencial.
El tradecraft es casi de manual de contrainteligencia. Primero, el grupo contacta por llamada o correo electrónico a empleados de la firma y los convence de que necesitan asistencia informática urgente. Si consigue acceso remoto mediante herramientas legítimas, ya está dentro. Si el engaño falla, da un paso insólito: un asociado del grupo se persona en la sede de la víctima con un disco externo o un pendrive y lo enchufa directamente al equipo. Allan Liska, director de seguridad de la información de Recorded Future, lo resumió con crudeza: ‘Es como un repartidor de comida a domicilio que te entrega veneno‘.
Ingeniería social con componente físico: así opera el Silent Ransom Group
El grupo lleva desde 2023 focalizado en el sector legal con una persistencia que no se ve en otros actores del ecosistema del ransomware. Según los investigadores, más de un centenar de ataques reivindicados y un pico de actividad en los primeros meses de 2026 han llevado al FBI a repetir la alerta que ya emitió hace justo un año. Entonces ya advertía de que los bufetes estaban en el punto de mira; ahora la novedad es el salto al mundo físico.
La víctima tipo recibe un email o una llamada que la insta a contactar con un supuesto técnico. Cuando la ingeniería social funciona, el atacante instala herramientas de acceso remoto. Cuando no, aparece alguien en la recepción. Ian Gray, vicepresidente de operaciones de inteligencia de amenazas de Flashpoint, declaró a CyberScoop que no tienen constancia de ningún otro grupo que envíe físicamente a sus operadores a las instalaciones de la víctima. El riesgo de exponer la identidad real es enorme y la mayoría de las bandas prefieren el anonimato de la pantalla.
Las implicaciones para la seguridad corporativa son profundas. Como señaló Joe Slowik, director de estrategia de alertas en Dataminr, cargar toda la responsabilidad sobre los empleados es injusto e irrazonable. El ser humano necesita confiar para trabajar, y los delincuentes explotan esa necesidad con una eficacia despiadada. Mientras tanto, los investigadores especulan con que el grupo utiliza trabajadores autónomos —gig workers— que probablemente ignoran que están cometiendo un delito, atraídos por una paga y sin hacer demasiadas preguntas.
El historial del grupo y por qué los bufetes son su objetivo
Silent Ransom Group, también rastreado como Chatty Spider, UNC3753 o Storm-0252, surgió en 2022 tras la disolución de Conti. No es el más prolífico entre los grupos de extorsión, pero sí uno de los más especializados. Halcyon contabilizó 134 incidentes de ransomware contra bufetes y servicios jurídicos durante el primer trimestre de este año, lo que convierte al sector en el cuarto más atacado, con más del 6% de todos los casos registrados. Cynthia Kaiser, vicepresidenta sénior del centro de investigación de Halcyon, explicó que el robo de datos en sí mismo es el mayor problema para los despachos, por el privilegio abogado-cliente y el daño reputacional. Por eso el grupo adapta sus operaciones a lo que sabe que más duele.
No emplean cifrado, a diferencia de los grupos de ransomware clásicos. Solo roban datos y extorsionan con su publicación. La factura puede ser millonaria, pero el verdadero temor es la pérdida de clientes, las demandas por negligencia y la intervención de los colegios de abogados. En mi libro El quinto elemento ya advertí que el próximo 11S empezaría con un clic. Hoy añado: también puede empezar con alguien que se planta en la entrada de tu despacho con una memoria USB en el bolsillo.
La ciberextorsión ha cruzado la línea física: ya no basta con un firewall.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza que emplea Silent Ransom Group es un híbrido entre phishing dirigido e intrusión física directa. No es HUMINT en sentido estricto —no hay reclutamiento de fuentes—, pero sí un salto cualitativo hacia el mundo de la infiltración con presencia sobre el terreno. Lo más inquietante, desde la óptica de la contrainteligencia, es que la técnica podría ser adoptada por servicios hostiles que busquen acceder a información privilegiada de gabinetes jurídicos que asesoran a multinacionales, gobiernos o incluso agencias de inteligencia.
En este escenario, las agencias implicadas se leen así: el FBI actúa como defensor inmediato, emitiendo la alerta y coordinando con el sector privado. El Silent Ransom Group, con probable base en Rusia, es el atacante. Y los terceros que observan con atención son todos los servicios occidentales —del CNI al MI6, pasando por el Mossad— porque cualquier gran bufete con sede en Madrid, Londres o Tel Aviv maneja secretos industriales, fusiones, litigios internacionales y, en ocasiones, información clasificada de sus clientes gubernamentales.
La DGSE francesa y el BND alemán ya monitorizan tácticas similares en sus respectivos sectores legales, aunque hasta ahora no se había documentado un patrón de visitas presenciales. El CNI, a través del CCN-CERT, mantiene desde hace años una línea de alerta temprana sobre ciberamenazas dirigidas a infraestructuras críticas y al sector privado estratégico. Con todo, el salto al espacio físico obliga a repensar los protocolos de seguridad en las sedes corporativas: control de accesos, verificación de identidad de visitantes y concienciación del personal de recepción.
Desde el punto de vista doctrinal, esta evolución recuerda al caso de los ilegales rusos desarticulados en 2010 —la red de Anna Chapman—, donde el SVR combinaba el ciberespionaje con la presencia física sobre el terreno. La diferencia es que ahora no hablamos de un servicio de inteligencia estatal, sino de un grupo criminal que, sin embargo, opera con una audacia que muchos servicios envidiarían. La pregunta que me hago es cuánto tardará algún Estado en copiar el método bajo bandera falsa. Porque si un repartidor puede colarse en un despacho, un agente con acreditación falsa también.
Por cierto, el nivel de clasificación del material que manejan estos bufetes es, en su mayoría, información comercial sensible y secretos empresariales, pero en no pocos casos puede alcanzar el equivalente a ‘Confidencial‘ o ‘Reservado’ en la escala de la UE, especialmente cuando están involucradas empresas del sector Defensa o contratos con la administración. A juzgar por la naturaleza de los bufetes atacados —algunos de los más grandes de Estados Unidos—, estoy convencido de que la información sustraída roza lo que en inteligencia llamaríamos Top Secret comercial. Y eso es, sencillamente, un caramelo para cualquier agencia extranjera.
