Una entidad del gobierno de EE. UU. pagó alrededor de $1 millón para evitar que se filtraran archivos robados, según un nuevo estudio de caso realizado por Rakesh Krishnan para Ransom-ISAC, basado en un chat de negociación filtrado y el rastro de blockchain que dejó el pago.
Lo curioso: el grupo que se llevó el dinero se autodenomina Kairóspero puede que no sea una banda de ransomware en absoluto. Krishnan no encontró señales de que alguna vez hubiera bloqueado una sola máquina: ni cifrador, ni casillero, ni solicitud de clave de descifrado. La amenaza era más sencilla. Roba los archivos y luego cobra a la víctima por no publicarlos.
Krishnan no nombra a la víctima, pero el chat apunta al condado de Union, Ohio. Los archivos de prueba de robo llevan nombres como Union.xlsx, 1 union co psi template.doc y un archivo final llamado union.rar. La víctima se autodenomina un condado pequeño con recursos limitados. El atacante se apoya en una carpeta en particular, marcada como “fiscalía”, y advierte que filtrarla ayudaría a los delincuentes a evadir cargos.
Las pistas encajan en un caso real. En mayo de 2025, el condado de Union, Ohio, dijo que detectó ransomware en su red y luego notificó a 45.487 residentes y personal que sus datos habían sido tomados, lo que afectó a la mayor parte del condado de aproximadamente 70.000 habitantes. Los registros robados iban desde la Seguridad Social y detalles financieros hasta huellas dactilares y números de pasaporte.
Ni el condado ni Kairos han confirmado la conexión. Pero si se mantiene, el gobierno de un condado pagó alrededor de $1 millón que nunca reveló públicamente. The Hacker News se ha puesto en contacto con la Oficina de los Comisionados del Condado de Union para solicitar comentarios. Esta historia se actualizará con cualquier respuesta.
La negociación duró aproximadamente un mes. Kairos abrió a 3 millones de dólares y afirmó que contenía más de 2 terabytes de datos, unos 1,6 millones de archivos. El condado comenzó con $100,000, subió lentamente hasta $255,000 y luego $430,000. Kairos bajó a 2 millones de dólares, luego fijó una cifra final estricta: 1 millón de dólares, pago antes del viernes o los archivos se harán públicos.
![]() |
| El pago en cadena: alrededor de 9,44 BTC llegan a la billetera vinculada a Kairos. |
Utilizó las palancas habituales: un cronómetro de cuenta regresiva, plazos ajustados y amenazas de deshacerse primero de las carpetas más confidenciales. El condado pagó el 13 de junio de 2025, diez veces su primera oferta.
El pago fue de aproximadamente 9,44 bitcoins, con un valor aproximado de 1 millón de dólares en ese momento. Krishnan rastreó el dinero desde allí. En cuestión de horas, se dividió en dos y se empujó a través de una cadena de billeteras hacia direcciones de depósito vinculadas a los intercambios de cifrado Bybit, OKX y un servicio ruso llamado BELQI.
Ese tipo de rastreo de manos lo llevan los investigadores, no los nombres. Y el dinero no compró nada sólido. Kairos envió un archivo de “prueba de eliminación”, pero una lista de nombres de archivos muestra sólo que el atacante alguna vez tuvo los archivos, no que los originales fueron eliminados. Pagar para hacer desaparecer los datos robados es un acto de fe y el recibo lo escribe el ladrón.

El condado de Union llamó a lo que le sucedió ransomware, la palabra que todos buscan, pero en el caso Kairos, nada estaba bloqueado. Ese es el verdadero cambio: gran parte de lo que todavía se llama ransomware ahora omite el cifrado y utiliza los datos robados como punto de presión.
Sophos informó en 2025 que solo alrededor de la mitad de los ataques de ransomware todavía implican cifrado, la tasa más baja en seis años. Algunas tripulaciones lo han abandonado por completo. Silent Ransom Group, una filial de Conti, ha pasado años ejecutando extorsión por robo de datos contra firmas legales y financieras estadounidenses sin ningún tipo de cifrado.
El chat Kairos también se ajusta a un patrón de negociación familiar. Cuando los chats internos de Black Basta se filtraron en febrero de 2025, un análisis de los mensajes reveló un acuerdo que iba desde una demanda de 1,5 millones de dólares hasta una contrapartida de 100.000 dólares y un pago de 1 millón de dólares, casi el mismo arco. Esas conversaciones, y las filtraciones de Conti que tuvieron lugar en 2022, son la forma en que los investigadores ahora reconstruyen la forma en que realmente se cierran estos acuerdos.
El propio Kairos se ha quedado en silencio. El sitio de la fuga no funciona y su última víctima conocida apareció en junio de 2026. Pero una billetera vinculada a la operación todavía movía dinero en mayo de 2026, un recordatorio de que un sitio de fuga oscuro no es lo mismo que una tripulación muerta.
Para cualquiera que dirija una pequeña red gubernamental, las lecciones son aburridas y familiares, y ese es el punto. Active la autenticación multifactor, ya que Kairos afirmó que accedió simplemente adivinando una contraseña.
Esté atento a los repetidos inicios de sesión fallidos, grandes transferencias de datos salientes y enlaces para compartir archivos grabadores, como las direcciones temp.sh que Kairos usó para mover los archivos. Mantenga los registros legales, de recursos humanos y de ciudadanos separados del resto de la red. Tenga listo un plan de declaración pública antes de que lo necesite. Y trate cualquier promesa de eliminar datos robados como si no valiera nada.




