¿Por qué es importante denunciar la ciberdelincuencia?

Muchos países, además de los 50 estados de EE. UU., exigen a las empresas que informen sobre las filtraciones de datos que pongan en riesgo la información de identificación personal (PII). El incumplimiento de esta obligación conlleva el riesgo de sanciones graves. Según el RGPD, por ejemplo, las empresas que no informen sobre las filtraciones de datos pueden recibir multas de hasta 10 millones de euros o el 2 % de los ingresos anuales globales, lo que sea mayor. Pero la denuncia de filtraciones de datos debería estar motivada por algo más que el miedo.

Supongamos que sufre una infracción de datos que no alcanza el umbral de denuncia. El ataque de ransomware infecta un solo servidor sin nada importante, así que lo borra y vuelve a crear la imagen. Encuentra un troyano en un endpoint antes de que pueda filtrar cualquier dato. Estos ataques pueden considerarse triviales, pero aun así vale la pena denunciarlos. En la guerra contra el ciberdelito, todos los datos son importantes.

Los grupos de ransomware son sigilosos, por lo que cada pista es importante

A los atacantes se les da muy bien cubrir sus huellas durante y después de un ciberataque exitoso. Mientras el ataque está en curso, los ordenadores infectados se comunicarán con los atacantes mediante comunicaciones ocultas llamadas comando y control (C2).

El C2 implica a menudo disfrazar el tráfico malintencionado como tráfico normal de aplicaciones. El malware también puede escapar a la detección mediante el uso de puertos con números altos poco comunes. El beaconing es otra forma de evitar la detección, en la que el malware enviará solicitudes de instrucciones a intervalos aleatorios, a menudo horas o días después de que se haya completado la infección inicial.

Al disfrazar el tráfico y moverse despacio, los atacantes sofisticados pueden evadir las heurísticas, IDS/IPS y otras formas de defensa. En lugar de llamar la atención con una oleada de actividad, el malware permanece por debajo del umbral de detección. Una vez que se ha logrado el ataque, el malware se borra o se encripta a sí mismo, lo que elimina las pruebas.

Esta combinación de técnicas significa que los grupos de malware pueden ser muy difíciles de localizar y, si cometen errores, es esencial que los investigadores reciban las pruebas.

Cada actor de amenazas deja información rastreable 

Los grupos de ransomware y las amenazas persistentes avanzadas (APT) con más éxito pueden operar durante años seguidos. El grupo LockBit, por ejemplo, operó de 2019 a 2024 antes de ser desmantelado. El grupo de ransomware conocido actualmente como BlackSuit opera con un nombre u otro desde 2016, cuando empezaron a ofrecer el ransomware Hermes. Algunos grupos de APT, que generalmente son patrocinados por el estado, han operado durante más de una década.

Cuando grupos como este operan durante mucho tiempo, desarrollan hábitos. BlackSuit suele entrar mediante un correo electrónico de phishing que instala un troyano de acceso remoto llamado SystemBC. Usarán Cobalt Strike y Mimikatz, además de herramientas más legítimas como PowerShell y PSExec, para propagarse, persistir y ampliar privilegios. Finalmente, utilizan una estrategia de cifrado parcial para cifrar más archivos más rápido antes de que comiencen a disparar los umbrales de detección.

¿Por qué los ataques fallidos se convierten en pistas para las fuerzas del orden?

Ahora, digamos que usted es CISO o analista de seguridad. Descubre que uno de sus terminales ha sido infectado por SystemBC mientras se encontraba en proceso de enviar señales a un servidor C2. Hace lo correcto y envía sus registros a un investigador. A partir de esta información, el investigador considera que el uso de SystemBC es una buena señal de que se trata de BlackSuit. Ahora conoce la dirección de un servidor BlackSuit C2.

¿BlackSuit entiende de inmediato que su intento de intrusión ha fracasado? Tal vez no. ¿Cierra inmediatamente su servidor C2 después de una intrusión fallida? Tal vez no. Si el servidor sigue activo, el investigador puede localizarlo en un centro de datos físico y saber quién lo está alquilando. Si combina la información que ha obtenido con la información de otros investigadores, puede cerrar los servidores del grupo y detener a los responsables.

Por cierto, el ejemplo anterior no es más que una ficción. El 24 de julio de 2025, un grupo de trabajo conjunto de las fuerzas del orden de EE. UU. y Europa incautó los dominios y la infraestructura de BlackSuit y recuperó datos que probablemente desenmascararían a los miembros del grupo. Consejos como el anterior no solo son útiles en teoría. Pueden tener implicaciones en la vida real que detengan el ciberdelito.

Cómo informar sobre un incidente cibernético (de cualquier escala)

Las denuncias de incidentes cibernéticos pueden comenzar a nivel local y terminar a nivel estatal. Aunque parezca increíble, la comisaría de policía local suele ser el primer paso en el proceso de denuncia de un incidente cibernético. Cada vez más a menudo, estas organizaciones cuentan con investigadores internos especializados en ciberdelincuencia. Podrán redactar informes y remitir los casos a organismos de la administración estatal y autonómica cuando sea necesario. 

Como alternativa, el Centro de Denuncias de Delitos en Internet (IC3) es un recurso compuesto por una asociación entre el Departamento de Justicia de los Estados Unidos y la Oficina Federal de Investigaciones. Podrán revisar su caso y derivarlo a las fuerzas del orden locales, agencias estatales o federales o incluso agencias internacionales cuando sea necesario.

Si se encuentra en la UE, probablemente acabará tratando con un departamento especializado en delitos informáticos de su Estado miembro. Para incidentes de mayor escala, Europol opera el Centro Europeo de Delitos Cibernéticos (EC3). Este departamento recopila información sobre malos actores y ayuda a coordinar las actividades entre los estados de la UE. También ofrecen asistencia técnica de emergencia para ayudar a remediar incidentes de alto perfil.

Recuerde que, aunque un incidente sea relativamente pequeño y la denuncia del incidente no vaya más allá de la policía local, esa información sigue disponible para que la revisen los investigadores internacionales. El más mínimo indicio puede convertirse en un instrumento para acabar con organizaciones grandes y peligrosas.

Minimice los riesgos de intrusión con Barracuda 

Hay una diferencia entre «no denunciar incidentes cibernéticos» y «no tener ningún incidente cibernético que denunciar». Barracuda ofrece ciberseguridad completa como servicio, y le ayuda a proteger sus terminales, detectar vulnerabilidades en tiempo real y aumentar sus recursos de TI. Obtenga información sobre Barracuda Managed XDR y cómo podemos ayudarle a acelerar su plazo de detección y mitigación de días a horas, lo que reducirá drásticamente el riesgo de sufrir un ciberincidente denunciable.