Auge y caída del mayor imperio cibercriminal

Hace poco más de un año, durante una de nuestras sesiones de concientización empresarial, surgió la pregunta de un participante: "¿Cuál es el Cartel de Sinaloa de los Sindicatos Cibercriminales?" (en clara alusión al más notorio). Nuestra respuesta fue inmediata: "sin dudas, ese es CONTI".

Compartí

Imperio cibercriminal

Hace poco más de un año, durante una de nuestras sesiones de concientización empresarial, surgió la pregunta de un participante: “¿Cuál es el Cartel de Sinaloa de los Sindicatos Cibercriminales?” (en clara alusión al más notorio). Nuestra respuesta fue inmediata: “sin dudas, ese es CONTI”. 

CONTI se erigió como una fuerza temible en el ciberespacio desde inicios de la presente década. Fue una (o “la”) organización a temer. Originador de muchos de los ciberataques más impactantes vistos, desde la caída del servicio de salud de Irlanda hasta el ataque masivo al estado de Costa Rica, lo que llevó incluso al presidente del país a declararse en estado de guerra. Su sola mención era sinónimo de caos y destrucción digital.

Conformado mayoritariamente por miembros eslavos, este origen común tuvo su punto de inflexión el 24 de febrero de 2022: Rusia y Ucrania entran en guerra. Ese mismo día, en una acción inédita, CONTI hizo público su apoyo a Rusia, identificando a Ucrania (y sus aliados) como futuros objetivos.
La decisión generó que miembros ucranianos del grupo manifestaran su rechazo a tal pronunciamiento, procediendo a publicar detalles de la organización desde adentro, revelando documentación, procedimientos y conversaciones de la interna.

Este evento, conocido como los CONTI Leaks mostró, por primera vez, la mirada interior de un sindicato cibercriminal.

Poseía una estructura de departamentos (recursos humanos, programadores, etc.), con jornadas de trabajo de 8 horas, en horarios normal de oficina, con una nómina aproximada de unos 100 empleados.

En la información filtrada se dejan ver problemas rutinarios de gestión, incluso se puede observar cómo se llega a despedir a un empleado por “alterar la disciplina” al encontrárselo durmiendo en varias oportunidades. Cibercriminales, pero con clara ética laboral y vocación de servicio.

Llama la atención mucha de la operativa laboral existente, observándose, por ejemplo, el terror que invade a la organización cada vez que se encuentran entre sus víctimas a empresas chinas o bien que posean la sigla “OOO” en su razón social (el equivalente a una SRL en países de la Comunidad de Estados Independientes).

La única excepción al anterior régimen laboral mencionado eran los denominados “call centers”: quienes negociaban las extorsiones con las víctimas, integrado por funcionarios de edades entre los 18 y 25 años, con niveles de inglés intermedio, y un horario de trabajo de 18:00 a 23:00 GMT +3 (correspondiente al horario de trabajo habitual en el hemisferio occidental, motivos sobran).

Y algo extremadamente llamativo: esta área, y algunas pocas autoridades, eran las únicas conscientes de encontrarse trabajando bajo una organización cibercriminal.

Contrariamente a lo que uno se puede imaginar, la mayor parte de los empleados desconocían la verdadera naturaleza del negocio de su empleador.

Finalmente, debido a estas filtraciones, y al temor que existía a ser nominada como organización terrorista (debido al muy alto perfil que habían logrado por sus ataques), es que el grupo finalmente deja de operar unos meses luego, en mayo de 2022, seguramente continuando sus acciones bajo otra identidad.

CONTI, un sindicato criminal de poder devastador, y que entre sus “logros” está el de ser uno de los creadores del modelo de cibercriminalidad más perfecto creado hasta nuestros días: El RaaS (la utilización de asociados/mercenarios en ciberataques), ya desarrollado en columnas anteriores.

Los CONTI leaks mostraron al mundo que la cibercriminalidad no se maneja con gente de canguro negro encerrados en espacios oscuros, sino todo lo contrario…son empresas organizadas, extremadamente organizadas …quizás hasta mejor que sus propias víctimas.