Una agencia del gobierno de Estados Unidos pagó un millón de dólares en bitcoin a un grupo de extorsión que jamás desplegó ransomware. El incidente, reconstruido por Ransom-ISAC a partir de una transcripción filtrada de la negociación y del rastreo en blockchain, expone una mutación profunda en el ecosistema del cibercrimen: ya no hace falta cifrar archivos para que una administración pública pague siete cifras.
El caso involucra a Kairos, un actor que desde noviembre de 2024 ha listado 88 víctimas en su sitio de filtraciones. La entidad estadounidense —probablemente el condado de Union, Ohio, a juzgar por los nombres de los archivos de muestra y la cronología de la brecha— sufrió un acceso por fuerza bruta entre el 6 y el 18 de mayo de 2025. Los atacantes sustrajeron 2 terabytes de datos, más de un millón seiscientos mil archivos, sin encriptar nada. El condado notificó a 45.487 afectados, cuyos datos incluían números de la Seguridad Social, huellas dactilares y pasaportes. El pago se ejecutó el 13 de junio de 2025, tras 28 días de tira y afloja en los que Kairos pasó de pedir 3 millones a aceptar un millón, justo antes de hacer públicos los archivos.
El manual de la extorsión sin ransomware
Le pongo en contexto: el grueso de los incidentes de estos últimos años combinaba cifrado de sistemas y robo de datos. Si la víctima se negaba a pagar, el atacante filtraba la información robada. Kairos ha simplificado el modelo: solo roba, no cifra, y cobra por no publicar. La transcripción de la negociación revela un guion de presión casi quirúrgico: cuenta atrás, plazos estrictos, mención selectiva del material más sensible —una carpeta etiquetada como “fiscalía”— y un ritmo de respuesta que sugiere un canal monitorizado en tiempo real.
El gobierno local abrió la negociación ofreciendo cien mil dólares. Terminó pagando treinta y tres veces esa cifra. En ningún momento se intercambió una clave de descifrado porque, sencillamente, no había nada que descifrar. El delito es extorsión pura y dura, vestida con el léxico del ransomware. Hasta el propio condado calificó el incidente de “ataque de ransomware” en la notificación oficial, perpetuando esa ambigüedad interesada.
Alguien tenía que decir que el rey Google va desnudo, y ahora la extorsión digital se ha desnudado hasta el punto de prescindir incluso del malware que le dio nombre.
¿Quién es Kairos? La pieza que faltaba en el puzle
El grupo irrumpió en noviembre de 2024 con un sitio en Tor y un correo de contacto, kairossup@onionmail.com, que recuerda al “LockBitSupp” de la banda rival. Pero la similitud acaba en la marca. No se ha hallado un solo binario de cifrado o locker vinculado a Kairos. Su poder de fuego consiste en credenciales débiles y en una maquinaria de publicación que sabe explotar el daño reputacional de las víctimas.
Una investigación de infraestructura apuntó en enero de 2026 a un servidor trasero alojado en Ucrania, bajo la IP 62.182.81.38, perteneciente al ASN de Virtual Systems LLC, un proveedor con historial de alojar malware y beacons de Cobalt Strike. Poco después, el sitio de filtraciones de Kairos mostraba un aviso de incautación atribuido al Departamento Cibernético del Servicio de Seguridad de Ucrania (SBU). Sin embargo, la cartera de bitcoin asociada seguía moviendo fondos en mayo de 2026. Un sitio tumbado no equivale a un grupo desarticulado; la operación financiera seguía viva.

Dossier Moncloa: Ojos en la Sombra
Lo veo como un viraje de doctrina, no como un caso aislado. El modelo de extorsión solo con datos elimina la fricción técnica del cifrado, reduce el coste de entrada para los atacantes y amplía el abanico de objetivos a cualquier organismo con expedientes sensibles y sin madurez en ciberseguridad. La Agencia de Seguridad Nacional (NSA) solía repetir que los ciberataques avanzados buscaban destrucción; Kairos demuestra que la amenaza más rentable es la humillación institucional.
En el plano del tradecraft, la operación de Kairos es impecable en su sencillez: un solo password adivinado por fuerza bruta, exfiltración masiva y una negociación que no descansa hasta que el reloj apremia. El pago se fragmentó en dos ramas en menos de cuatro horas: 6,61 bitcoins fueron a parar a un monedero que Ransom-ISAC denomina “Main Guy”, y 2,83 a un “Helper”. En los días siguientes, los fondos transitaron por ByBit, OKX y un exchange ruso llamado BELQI. La trazabilidad blockchain ofrece pistas investigativas, pero no atribución individual sin órdenes judiciales sobre los exchanges.
Aquí es donde el CNI y el CCN-CERT deben tomar nota. La administración española maneja millones de expedientes con datos personales y secretos oficiales. Un ataque de fuerza bruta contra un ayuntamiento, una diputación o una consejería no es ciencia ficción; es el pan nuestro de cada día para los equipos de respuesta a incidentes. La Agencia Tributaria, el INSS o las comunidades autónomas gestionan terabytes de información que, en manos de un Kairos local, se convertirían en moneda de cambio. La lección de Ohio no es solo que un gobierno haya pagado, sino que lo hizo porque carecía de un protocolo preautorizado de escalada y de una estrategia de comunicación de crisis que no pasara por claudicar.
En mi opinión, el caso revela además una asimetría peligrosa: los grupos de extorsión con datos no necesitan el mismo nivel de sofisticación que un APT estatal para causar un daño comparable. Basta un único fallo de configuración en un servicio expuesto o una contraseña débil. Escribí en El quinto elemento que el próximo 11S empezaría con un clic; me temo que el próximo escándalo institucional empezará con una hoja de cálculo de la Seguridad Social publicada en un foro de la dark web.
Ransom-ISAC no identifica oficialmente a la víctima, pero las pistas son contundentes: los archivos de muestra llevan nombres como “Union.xlsx” y “1 union co psi template.doc”, y el condado de Union, Ohio, confirmó una intrusión en mayo de 2025 y notificó la pérdida de datos a 45.487 personas. La nota de notificación sigue hablando de ransomware, a pesar de que no hay evidencia de cifrado, lo que sugiere que la etiqueta se utiliza como coartada semántica para justificar el pago. Por cierto, hace años ya advertí en Desnudando a Google que las palabras moldean nuestra percepción del riesgo: llamar ransomware a una extorsión con datos limpia es como llamar incendio a un robo en una gasolinera porque hay una chispa.
El cierre de la investigación deja un detalle inquietante: tras el pago, Kairos envió un “comprobante de eliminación”, un fichero de texto de 238 MB con la lista de archivos robados. El gesto es cosmético: la misma lista puede generarse en segundos desde cualquier copia del botín. No hubo verificación criptográfica, ni hash, ni registro de ejecución. Pagar para que los datos desaparezcan es un acto de fe cuyo recibo lo escribe el ladrón.
La respuesta ucraniana posterior —un aviso de incautación en la web de filtraciones— demuestra que los gobiernos aliados ya están actuando sobre la infraestructura. Pero el monedero de Kairos seguía vivo en mayo de 2026, así que la amenaza no ha desaparecido. Lo que permanece es un modelo de negocio criminal que prescinde del malware y que encontró en las administraciones públicas un cliente dispuesto a pagar cantidades millonarias sin oposición técnica. Verá usted que el siguiente capítulo se escribirá, muy probablemente, en un condado europeo, y entonces Moncloa tendrá que decidir si tiene preparada una respuesta que no pase por rellenar un monedero de bitcoin.

