72 horas de silencio y un manifiesto: los hackers más famosos se retiraron dejando solo una nota.

15 de los grupos cibercriminales más conocidos, entre ellos Scattered Spider, ShinyHunters y Lapsus$, anunciaron el cese de sus actividades. Su declaración colectiva apareció en BreachForums y se convirtió en el mensaje más sonoro del submundo en los últimos años. Los autores enfatizaron que su objetivo no era tanto extorsionar dinero como demostrar la debilidad de los sistemas digitales. Ahora afirman que eligen «silencio» en lugar de ataques públicos.

En el documento, publicado en nombre de numerosos seudónimos de hackers conocidos, se afirma que la decisión fue tomada después de tres días de silencio que los participantes dedicaron a sus familias y a comprobar sus propios planes en caso de persecución. Según ellos, las 72 horas transcurridas las habían "esperado durante mucho tiempo" para confirmar de forma definitiva la estrategia de retirada y la coherencia interna.

El texto enumera episodios resonantes de los últimos meses. Entre ellos —la paralización de las plantas de Jaguar, ataques a Google que supuestamente afectaron a los servicios Workspace, Gmail y Person Finder—, así como ataques contra la infraestructura de Salesforce y CrowdStrike. Los autores subrayaron que deliberadamente interrumpieron el desarrollo de algunos hackeos, dejando a las corporaciones en la incertidumbre, y que fueron abandonando gradualmente sus propias herramientas, incluido el servicio de correo Tutanota.

La declaración contiene también advertencias directas. En ella se mencionan Kering, Air France, American Airlines, British Airways y otras grandes empresas que, según el grupo, hasta ahora no han recibido exigencias de rescate, aunque sus datos podrían ya estar comprometidos. El mensaje enfatiza que los gobiernos de Estados Unidos, Reino Unido, Francia y Australia se engañan sobre el control de la situación, mientras que los atacantes siguen observando sus acciones.

Se hizo un énfasis particular en los arrestos. Los hackers expresaron su simpatía por ocho detenidos, cuatro de los cuales se encuentran en prisiones de Francia, calificándolos de "chivos expiatorios". Según ellos, esas personas se convirtieron en víctimas de investigaciones, pero no existen pruebas sólidas en su contra. Los autores afirmaron que dejaron rastros intencionalmente para desviar la investigación y reducir los riesgos para los verdaderos participantes, utilizando métodos de ingeniería social.

Se menciona aparte el conflicto con las fuerzas del orden y los servicios secretos. En el texto se dice que los participantes aprendieron métodos de distracción de los "mejores", mencionando explícitamente la experiencia de la CIA y las "lecciones de Langley". Señalan que a largo plazo la planificación y la capacidad de influencia importan más que las habilidades técnicas.

La parte final de la declaración suena a despedida. Grupos de hackers afirman que sus objetivos se han cumplido y que ha llegado el momento de desaparecer. Unos planean "disfrutar de paracaídas dorados" y de los millones acumulados, otros pretenden centrarse en el estudio y el desarrollo de tecnologías, y otros simplemente se retirarán a la sombra. Los autores no descartaron que sus nombres sigan apareciendo en futuras publicaciones sobre hackeos a corporaciones y organismos estatales, pero subrayaron que eso no significará la continuación de la actividad activa.

A pesar del tono grandilocuente del manifiesto de despedida, los analistas evalúan lo ocurrido con escepticismo. En Black Duck recordaron que declaraciones de este tipo deben tomarse con cautela: a menudo solo indican una retirada temporal. En BeyondTrust añadieron que la historia de GandCrab, que "se fue" en 2019 y regresó en forma de REvil, demostró que los anuncios estruendosos en el entorno criminal rara vez son definitivos. En Bugcrowd subrayaron que los delincuentes o se reorganizan o crean nuevas estructuras, y en iCOUNTER describieron estos procesos como parte del ciclo normal del submundo.

Así, la "retirada" simultánea de quince grupos se convirtió en un suceso notable en el mundo del cibercrimen, pero difícilmente significa la desaparición real de la amenaza. El cambio de nombres y de roles no elimina el propio fenómeno del ransomware, sino que solo lo enmascara, dejando a empresas y a estructuras estatales frente a los mismos riesgos de siempre.