A principios de mes, 0apt surgió en la dark web con varias decenas de «víctimas» de forma simultánea. Sin embargo, detrás de esta fachada de ransomware sin robo de datos, diversas investigaciones revelan una mecánica de engaño diseñada para atrapar a empresas y analistas.
Este análisis de este falso ransomware 0apt se basa en múltiples análisis de terceros y declaraciones públicas auto-declaradas, y en ningún caso afirma haber verificado exhaustivamente cada lista publicada.
¿Qué es 0apt?
0apt es un grupo que opera en la dark web bajo la apariencia de una operación de ransomware. Sin embargo, en lugar de robar y filtrar datos, utiliza una táctica de engaño: publica listas de supuestas víctimas y ofrece descargas falsas que solo entregan un flujo infinito de datos aleatorios. Su objetivo es la extorsión mediante el riesgo reputacional en ciberseguridad.
El grupo 0apt se presentó como una nueva operación de ransomware. Investigaciones especializadas explicaban recientemente la difusión de varias decenas de empresas anunciadas como presuntamente hackeadas. Días después de una conversación con una fuente que afirma estar cercana a la operación de 0apt, pero que no ha sido identificada públicamente, más de 150 empresas figuraban en la lista, incluyendo gigantes de la industria.
Un volumen inusual en este ecosistema, aunque el interlocutor entrevistado explicó que 0apt era la fusión de varios antiguos socios y grupos de hackers. Al verificar sus afirmaciones, los investigadores descubrieron lo que parece ser un engaño a gran escala: el sitio de filtraciones ofrece enlaces de descarga que no entregan ningún documento, sino un flujo infinito de datos aleatorios generados en tiempo real.
La ilusión imita un gran archivo cifrado, sin firma identificable, y puede causar la pérdida de días en Tor durante el inútil tiempo de descarga. El objetivo presunto: explotar el miedo, provocar una crisis de imagen y presionar para que se realice un pago a cambio de retirar un nombre, incluso sin que haya existido un robo de datos.
El Engaño de 0apt: Una Fachada de 190 Víctimas
Cuando un nuevo actor aparece en el universo del ransomware, suele avanzar con cautela, publicando una empresa, luego otra, para construir su reputación.
0apt eligió una trayectoria diferente: golpear con fuerza, de inmediato, con una lista de varias decenas de organizaciones. Al momento de redactar este artículo, el sitio de los presuntos hackers muestra 152 posibles víctimas de 0apt, y algunos sistemas de seguimiento hablan de cifras cercanas a las 200 en su punto máximo.
La cifra, por sí sola, crea un efecto de conmoción. 71 víctimas en 48 horas. 152 en 5 días. El objetivo parece inmenso, transversal, casi sistémico. En este escenario, la sombra de las amenazas de la dark web hace el resto: el lector imagina redes comprometidas, copias de seguridad destruidas y negociaciones nocturnas.
Sin embargo, desde las primeras verificaciones, algo no encaja. Inicialmente, el sitio habría exhibido principalmente empresas anónimas, poco identificables y a veces de baja calidad, como si el grupo estuviera probando su puesta en escena.
Luego, un cambio de estrategia: aparecen actores mucho más expuestos, incluyendo referencias del mundo empresarial, de tecnologías médicas e incluso de la defensa. El elenco se vuelve de repente demasiado perfecto para ser casual, tal y como respaldan informes de seguridad independientes.
Cuanto más reconocidos son los nombres, mayor es la presión psicológica, incluso sobre los equipos jurídicos o los consejos de administración que razonan principalmente en términos de riesgo reputacional.
La interfaz, por su parte, se adhiere al estándar criminal: una página minimalista, entradas por «víctima» y un botón para recuperar la supuesta filtración. Pruebas independientes muestran que, al cambiar la hora del sistema, la «descarga», normalmente imposible debido al temporizador de «presión» implementado, se volvía posible. Y la descarga no era más que archivos vacíos, según pruebas realizadas por múltiples equipos de ciberseguridad independientes.
Es precisamente ahí donde se cierra la trampa. El clic no desencadena nada. Desencadena una pérdida de tiempo industrial. En lugar de un paquete de pruebas, el usuario recibe una avalancha de ruido, un flujo interminable de datos aleatorios producidos sobre la marcha. Nada que clasificar, nada que autenticar, nada que contrastar, solo datos binarios inútiles.
El Ataque /dev/random: El Arte de Agotar al Analista
Varios investigadores que analizaron el tráfico coinciden: el servidor envía un flujo continuo de datos aleatorios, similar a un /dev/random o equivalente, generando ruido infinito en lugar de archivos reales.
El resultado es engañoso porque se asemeja a lo que muchos esperan ver en un sitio de filtraciones: un archivo grande y opaco, potencialmente cifrado y, por tanto, naturalmente ilegible sin una clave. Como detalla un análisis técnico profundo, en la red, esta maraña de datos puede simular una descarga «seria» sin proporcionar la más mínima prueba material.
El flujo no tiene identidad, por lo que imita fácilmente un contenedor cifrado. El grupo añade una segunda capa de engaño al enmascarar el tamaño mostrado para hacer creer que se trata de varios cientos de gigabytes.
En Tor, cuya lentitud es bien conocida, la combinación se convierte en un arma. Un analista, un periodista o un equipo de seguridad puede perseverar durante días, convencido de que está recuperando un tesoro de pruebas, antes de comprender que solo ha capturado el vacío.
¿Por qué construir una falsa filtración en lugar de robar datos? Porque el efecto buscado no es técnico, sino emocional. Si el nombre de una empresa aparece en un sitio criminal, acompañado de un enlace presentado como masivo, la angustia interna puede comenzar antes de cualquier validación.
Para algunas empresas muy expuestas, el titular a veces importa tanto como la realidad del contenido. 0apt apuesta por este reflejo con sus tácticas de extorsión digital: obtener un pago no para restituir datos, sino para borrar una mención; en otras palabras, monetizar la eliminación de un tablón de anuncios. No es el primero en hacerlo, pero es el primero en ser tan visible.
El dispositivo también confunde los radares. Al saturar la zona con entradas, el grupo puede engañar a los sistemas automatizados que vigilan la dark web, robots que agregan y republican «víctimas» en cuanto aparece un nuevo nombre. El volumen se convierte entonces en un amplificador: el engaño gana credibilidad simplemente porque se repite, se difunde y se indexa.
En esta configuración, 0apt se parece menos a un equipo de intrusión que a un vendedor de espejismos, eficaz mientras nadie se tome el tiempo de verificar que la filtración no existe.
En última instancia, la mejor respuesta aquí descrita no es solo una barrera más, sino una disciplina de inteligencia: verificar, probar, medir y resistir a la urgencia mediática.
Este es un paso clave en cómo identificar un ransomware falso. Un buen análisis de ransomware, como el elaborado por firmas de inteligencia de amenazas, confirma que la prudencia es la mejor defensa frente a estas crecientes amenazas a la seguridad de la información.
