Te ofrecen 55.000 dólares por tu contraseña laboral. ¿Qué harías?

El periodista de la BBC Joe Tidy se encontró en una situación que normalmente permanece oculta en las sombras del mundo delictivo cibernético. En julio recibió un mensaje inesperado en el mensajero Signal de un desconocido que se identificó como Syndicate. El interlocutor le propuso participar en un esquema delictivo: si Tidy cedía acceso a su ordenador, recibiría una parte del el rescate que planeaban exigir a la corporación. Al principio se habló de un 15% de la posible suma, pero después la oferta subió al 25% —con la promesa de que ese «trato» bastaría para una vida acomodada.

El interés por la colaboración de informantes lo justificaban los delincuentes con las ganancias que les habían reportado tratos similares en el pasado. Syndicate, que durante la conversación incluso cambió de nombre, aseguraba que empleados de compañías con frecuencia aceptan ayudar a los hackers. En apoyo mencionó ataques contra una organización médica británica y un servicio estadounidense de emergencias. Además, pocos días antes en Brasil había sido detenido un especialista de TI que vendió sus credenciales a los atacantes. Según la policía, el banco sufrió daños por alrededor de 100 millones de dólares —y esa historia reforzaba la sensación de amenaza real.

El interlocutor se presentó como «gerente de relaciones» del grupo Medusa, conocido como una de las estructuras más activas que operan con el modelo de «extorsión como servicio». Cualquier delincuente afiliado puede usar la plataforma de Medusa para lanzar ataques. Según CheckPoint, el núcleo de la banda actúa desde Rusia o países aliados y evita atacar dentro de la CEI, concentrándose en empresas extranjeras. Las autoridades estadounidenses indicaron en una alerta oficial que en cuatro años Medusa atacó a más de 300 organizaciones. En el sitio de la dark web del grupo aparecen decenas de empresas afectadas, aunque sus nombres están ocultos.

En las negociaciones Syndicate aumentó constantemente la presión. Afirmó saber que los sueldos en la BBC no son muy altos y propuso «jubilarse en las Bahamas» tras un hackeo exitoso. Como «garantía de honestidad» los hackers prometieron depositar 0,5 bitcoin, unos 55 000 dólares. Exigieron el nombre de usuario, el código de autenticación de dos factores y hasta enviaron un complejo fragmento de código pidiendo que lo ejecutara en su portátil de trabajo y comunicara los resultados. Eso permitiría evaluar el nivel de acceso y trazar los pasos siguientes dentro de la infraestructura. Syndicate insistía en trasladar la conversación a Tox —un mensajero usado activamente por cibercriminales— y envió enlaces a las páginas de Medusa en foros cerrados.

Cuando el periodista, consultando con colegas, empezó a ganar tiempo, el interlocutor perdió la paciencia. Dio un plazo final y pronto cambió de táctica. El teléfono de Tidy se llenó de notificaciones emergentes con solicitudes de confirmación de acceso a la cuenta de la BBC. Este método se conoce como bombardeo de MFA: la víctima recibe decenas o cientos de solicitudes push y al final puede pulsar «confirmar» por error o por cansancio. De forma similar, por ejemplo, en 2022 fue hackeada Uber. Para el propio periodista el ataque se percibió como una intrusión insistente del mensajero directamente en la pantalla del teléfono, que recordaba a un golpe agresivo en la puerta.

Tidy no respondió y se puso en contacto de urgencia con el equipo de seguridad informática de la BBC. Para eliminar el riesgo lo desconectaron temporalmente de los sistemas corporativos: ni correo, ni servicios internos, ni herramientas de acceso. Aquella misma noche Syndicate envió un mensaje sorprendentemente tranquilo con disculpas: «El equipo pide disculpas. Estábamos probando la página de acceso de la BBC y lamentamos mucho si esto causó problemas». A pesar de la presión, el hacker siguió ofreciendo el trato, pero al no obtener respuesta eliminó su cuenta en Signal y desapareció.

Más tarde al periodista le restablecieron el acceso a los sistemas y reforzaron la protección de su cuenta. Esta experiencia puso de manifiesto que las amenazas reales no provienen solo de ataques técnicos complejos, sino también del trabajo deliberado con empleados. Incluso una persona sin privilegios en la red de la empresa puede convertirse en objetivo de reclutamiento. La historia de Tidy es un ejemplo claro de cómo las agrupaciones delictivas combinan promesas, manipulaciones y técnicas técnicas para eludir la defensa desde dentro y someter a las organizaciones a la extorsión.