• Telegram
  • Publicidad
  • Hazte Socio
Confidencial Digital Últimas noticias sobre Dinero
La web de las personas informadas que desean estar más informadas
Buscar
Secciones
Síguenos

Los hackers más temidos del mundo, y que operan en España, tienen CEO, atención al cliente…

“LockBit” atacó a Telepizza, el Ayuntamiento de Sevilla, bufetes de abogados... Disponen de una estructura empresarial con examen de ingreso y cursos de formación

Adidas alerta a sus clientes: les han robado datos personales
Los empresarios, víctimas de una nueva estafa: facturas falsas de suministro de luz, agua y gas
El 'despacho' de los hackers. Imagen de archivo - Europa Press
El 'despacho' de los hackers. Imagen de archivo - Europa Press
Mariel Delgado Díez
Mariel Delgado Díez
Actualizado: 02/06/25 | 11:46 | Tiempo de lectura: 6 min.
Etiquetas:
Ciberseguridad hacker Destacadas ciberataque
  1. Funcionamiento empresarial
  2. España, en el punto de mira
  3. Reclutamiento, formación y marca
  4. El imperio que no cae
  5. Una amenaza aún latente

La historia comienza como un relato de ciencia ficción. Pero no lo es. En las entrañas de internet, entre foros clandestinos y redes encriptadas, opera LockBit: una organización criminal que no se esconde tras pasamontañas ni se comunica con notas en clave.

Entre sus víctimas españolas figuran Telepizza; el Ayuntamiento de Sevilla, cuyo sistema informático quedó bloqueado tras un ataque que colapsó sus comunicaciones; y el bufete CMS Albiñana & Suárez de Lezo, que sufrió el secuestro y amenaza de publicación de información confidencial.

Publicidad 988642

A ellos se suman otros despachos como Sagardoy y Allen & Overy, y una lista de al menos 19 entidades afectadas en España entre abril de 2023 y abril de 2024, lo que sitúa al país como el octavo más atacado del mundo por esta red de ransomware (secuestro de archivos de un dispositivo y exigencia de un pago para liberarlos).

Funcionamiento empresarial

LockBit funciona con una guía de uso para los delincuentes afiliados, atención al cliente 24/7, sistemas de incentivos para empleados y pruebas de rendimiento para sus ‘empleados’.

A diferencia de otras bandas, que aparecen, atacan y se desvanecen en el anonimato, LockBit se ha institucionalizado. Tiene su jerarquía interna, responsables de spam, distribuidores, administradores de sistemas y extractores de dinero.

En una reciente jornada sobre ciberseguridad organizada por la empresa de ciberseguridad Secure&IT, se desvelaron detalles sorprendentes sobre el funcionamiento interno de LockBit, considerado el grupo de ransomware más activo y temido del mundo.

El grupo se articula alrededor de un “organizador” que actúa como CEO. Desde ahí, se ramifican roles claramente definidos. Cada cibercriminal tiene su tarea específica. Uno escribe el virus, otro lo adapta, otro lo distribuye y otro se encarga de lavar el dinero robado.

Hackers.
Hackers de LockBit atacan empresas en España.

España, en el punto de mira

Entre abril de 2023 y abril de 2024, LockBit atacó al menos a 19 empresas españolas, según la firma de ciberseguridad Zscaler.

España se convirtió en el octavo país más golpeado por este tipo de ransomware. Entre las víctimas figuran ayuntamientos, multinacionales de alimentación y grandes despachos de abogados vinculados al Ibex 35.

El 12 de abril de 2023, LockBit publicó más de 14 gigas de información robada a Food Delivery Brands, la compañía que gestiona marcas como Telepizza y Pizza Hut. Documentos con facturación internacional, contratos laborales y datos corporativos fueron filtrados.

Por ahora, no hay pruebas de que se viesen comprometidos los datos de clientes, aunque la empresa nunca llegó a confirmar el alcance real del ataque.

Meses después, el Ayuntamiento de Sevilla fue paralizado por completo. Un ciberataque dirigido a través del ordenador de un funcionario colapsó la red interna del Consistorio. Se ordenó apagar todos los ordenadores e incluso desconectarlos de la red eléctrica.

La actividad administrativa quedó interrumpida durante días. LockBit se atribuyó la autoría.

En diciembre, CMS Albiñana & Suárez de Lezo, uno de los bufetes más importantes del país, también fue víctima. El ataque bloqueó el acceso a documentos confidenciales, incluidos informes legales y financieros de grandes clientes como Iberdrola, Santander y Amazon.

LockBit amenazó con publicar más de 500 gigas de información en la dark web si no se pagaba el rescate. Era un modus operandi ya conocido: robar, chantajear, publicar.

Reclutamiento, formación y marca

En el evento de ciberseguridad organizado por Secure&IT, expertos revelaron detalles inéditos sobre la organización interna del grupo.

LockBit dispone de soporte técnico constante para sus “clientes” —los hackers afiliados que utilizan sus herramientas— y recluta por objetivos. Existen incentivos por rendimiento y hasta procesos de formación. No cualquiera puede unirse. Hay que pasar un examen de ingreso.

Todo el proceso se gestiona desde foros clandestinos, donde los reclutadores publican ofertas, se evalúan candidatos y se asignan tareas. Incluso se han llegado a encontrar guías de uso para los delincuentes afiliados que detallan cómo perpetrar el ciberataque.

Uno de los mayores temores de los expertos es no solo su capacidad técnica, sino la profesionalización de sus métodos.

El imperio que no cae

El grupo apareció por primera vez en 2020, en plena pandemia. Aunque su origen es incierto, las sospechas apuntan a Rusia. Su sede operativa, según agencias internacionales, podría estar en Países Bajos. Desde entonces, se le atribuyen ataques en más de 120 países a más de 2.500 objetivos.

A principios de 2024, una gran operación internacional, coordinada por el FBI y Europol, anunció haber desarticulado parcialmente su red. Fue la “Operación Cronos”. Se realizaron detenciones en Reino Unido, Francia y España.

En el aeropuerto de Madrid-Barajas, la Guardia Civil arrestó a un ciudadano bielorruso considerado uno de los pilares de la infraestructura técnica del grupo. Era el administrador del proveedor de servicios de internet, que daba cobertura a LockBit y garantizaba el anonimato de sus operaciones.

Pero lejos de amilanarse, el grupo reaccionó con arrogancia. En su canal oficial de Telegram negaron haber sido derrotados: “¡Somos un imperio!”.

Aseguraron que sus miembros “no se conocen entre sí”, que operan de forma descentralizada, y que tienen “agentes secretos en todo el mundo”. Según sus propias palabras, sus integrantes son “ingenieros, médicos, jueces, carpinteros... de todas las edades y profesiones”.

Una amenaza aún latente

LockBit no ha desaparecido. A pesar de los golpes recibidos, sigue liderando la estadística mundial de ataques de ransomware.

Según el sistema de alerta contra ciberataques SOC Radar, LockBit fue responsable del 45% de todos los ataques de este tipo durante la primera mitad de 2023.

Su modelo de franquicia, su estructura descentralizada y su capacidad para reinventarse lo convierten en una amenaza persistente.

Los expertos advierten de que, en promedio, se tarda casi un año en detectar y contener completamente un ataque de ransomware.

Mientras tanto, las consecuencias económicas y operativas se multiplican. Pérdidas millonarias, interrupciones de servicios y filtraciones masivas de datos personales y empresariales son solo algunas de sus secuelas.

El nuevo rostro del crimen organizado no lleva pistola ni se oculta en callejones. Se conecta desde un portátil, asiste a reuniones por videollamada y comparte archivos cifrados desde servidores anónimos.

La ciberdelincuencia ya no es un asunto de especialistas marginales. Es una industria.

Más en Dinero
Comentarios
metricool