Un Solo Clic en un CAPTCHA Falso...

Una gran empresa global dedicada al almacenamiento de datos sufrió un ataque de ransomware Akira que comenzó con algo tan común como un CAPTCHA. Un empleado entró en la web de un concesionario y vio la típica verificación de “haz clic para demostrar que eres humano”. Parecía completamente legítimo, pero era una trampa: un CAPTCHA falso diseñado para hacer que el usuario descargara malware sin darse cuenta. Al hacer clic, el empleado instaló SectopRAT, una herramienta que permitió a los atacantes entrar en el sistema como si estuvieran sentados frente al ordenador.

A partir de ese momento comenzó una intrusión silenciosa que duró 42 días. Los atacantes, pertenecientes al grupo Howling Scorpius, fueron escalando privilegios, robando credenciales y moviéndose por la red sin levantar sospechas. Utilizaron herramientas totalmente legítimas —como RDP, SSH o WinRAR— para camuflar su actividad entre el tráfico normal. Con estas técnicas consiguieron acceder a los controladores de dominio, analizar la estructura interna de la empresa y preparar la exfiltración masiva de datos.

Cuando ya tenían control total, pasaron a la fase final del ataque. Lo primero que hicieron fue eliminar los backups y contenedores de almacenamiento en la nube, dejándolo todo listo para que no hubiera forma fácil de recuperarse. Luego extrajeron casi un terabyte de información usando herramientas sencillas y difíciles de detectar, como una versión portátil de FileZilla. Finalmente desplegaron el ransomware Akira en múltiples redes, lo que desconectó máquinas virtuales y paralizó completamente las operaciones de la empresa.

Lo más chocante del caso es que la organización sí contaba con dos soluciones avanzadas de seguridad tipo EDR. Ambas registraron actividades sospechosas, pero casi no generaron alertas. ¿La razón? Configuración insuficiente, reglas mal afinadas, exceso de confianza y falta de correlación entre eventos. En otras palabras, todos los datos estaban ahí, pero nadie los vio. Este patrón no es raro: la mayoría de ataques analizados por Unit 42 muestran señales claras en logs que pasan desapercibidas por falta de visibilidad real.

El grupo responsable, Howling Scorpius, opera de forma profesional. Usa un modelo de doble extorsión —robar antes de cifrar— y es flexible en las negociaciones, permitiendo pagar solo por el descifrado o solo por eliminar datos robados. Han recaudado cientos de millones desde 2023 y han desarrollado variantes de Akira para Windows, Linux y entornos de virtualización, adaptándose constantemente para evadir defensas.

Este incidente deja varias lecciones importantes. La primera es que la ingeniería social sigue siendo el punto de entrada más efectivo: un solo clic puede abrir la puerta a semanas de actividad maliciosa. La segunda es que las herramientas de seguridad no sirven si no están bien configuradas, monitorizadas y correlacionadas. La tercera es que los backups deben estar aislados o ser inmutables, porque si los atacantes pueden acceder a ellos, los eliminarán. Finalmente, la detección temprana es clave; cuanto más tiempo permanecen dentro, más daño pueden causar.

Lo que empezó como un simple CAPTCHA terminó siendo un ataque multimillonario debido a una combinación de engaño, falta de visibilidad y confianza excesiva en herramientas que no estaban optimizadas. Este caso demuestra que la seguridad no es un producto que se compra, sino un proceso constante que requiere configuración, vigilancia, análisis humano y formación continua.