No fue necesario cifrar nada: una amenaza y el momento justo bastaron.

Incluso sin cifrar los archivos, una filtración puede convertirse en una crisis multimillonaria, y el caso de Kairos demostró cuánta presión puede ejercer solo la amenaza de publicar datos. Un organismo estatal estadounidense pagó a los atacantes $1 millón tras el robo de más de 2 TB de información, aunque el estatus de Kairos como grupo extorsionista plenamente constituido no se llegó a confirmar.
El incidente ocurrió el 19 de mayo de 2025. Kairos afirmó haber accedido a 1,6 millones de archivos y exigió $3 millones a cambio de no publicarlos. En lugar de bloquear sistemas, los atacantes enviaron un listado de documentos robados y muestras de archivos para demostrar el acceso. Entre los materiales, según ellos, había datos de la fiscalía, documentos de personal y registros sobre ciudadanos de Estados Unidos.
La organización afectada inicialmente ofreció $100.000, luego elevó la cifra a $255.000 y $430.000. Kairos redujo gradualmente la exigencia hasta $1 millón, fijó un plazo y amenazó con publicar los datos de inmediato. El 13 de junio la organización transfirió el dinero en bitcoins, tras lo cual los atacantes afirmaron haber eliminado lo robado y dijeron que habían accedido a la red mediante fuerza bruta de credenciales.
El “informe de eliminación” proporcionado no permitía verificar si los archivos habían sido efectivamente destruidos. No contenía confirmaciones criptográficas, registros de ejecución de comandos ni otros datos que vincularan la lista con una eliminación real. Los autores del análisis tampoco encontraron un cifrador ni otra muestra de programa malicioso que confirmara la operación de Kairos como un grupo extorsionista clásico.
Tras recibir el rescate, los fondos se dividieron rápidamente entre varias carteras. Parte de las transferencias llegó a direcciones vinculadas con ByBit, OKX y BELQI; sin embargo, esas coincidencias no revelan la identidad de los participantes. Más tarde, la infraestructura del sitio de filtraciones de Kairos mostró un aviso de bloqueo atribuido al departamento cibernético del Servicio de Seguridad de Ucrania. No hay datos sobre detenciones o un cese total de la actividad del grupo.
Reducir el riesgo de este tipo de ataques ayuda la autenticación multifactor, el control de intentos de fuerza bruta sobre contraseñas, las alertas por accesos anómalos y el monitoreo de grandes transferencias salientes de datos. Las organizaciones también deberían aislar los almacenes con información de personal, jurídica y otra información sensible, y definir de antemano el procedimiento a seguir en casos de extorsión.