Un caso reciente publicado por Ransom-ISAC, una organización dedicada a investigar ataques de ransomware, muestra que una agencia del gobierno local en Ohio pagó a piratas informáticos un rescate de 1 millón de dólares a cambio de que los datos no se hicieran públicos. Vale la pena señalar que en este caso los piratas informáticos en realidad no cifraron ningún dato, sino que simplemente amenazaron con filtrar los datos robados, lo que obligó al gobierno del condado de Ohio a pagar un alto rescate.

Es posible que esto ni siquiera se considere un ataque de ransomware:
El investigador Krishnan no reveló en detalle el nombre de la organización víctima en el estudio de caso, pero a juzgar por los registros de chat, la víctima debería ser un condado de Ohio, EE. UU. (equivalente a una ciudad a nivel de prefectura en China). Los piratas informáticos no cifraron ninguno de los datos de la víctima, pero dijeron que lograron robar alrededor de 2 terabytes de datos, información crucialmente confidencial de la oficina del fiscal del condado que, según los piratas informáticos, podría ayudar a los delincuentes a escapar del procesamiento si se filtra.
El grupo de hackers que lanzó el ataque tenía el nombre en código Kairos. Inicialmente, el grupo de hackers pidió a la víctima que pagara una tarifa de silencio de 3 millones de dólares, y la víctima directamente redujo el precio a 100.000 dólares. Luego, los piratas informáticos utilizaron los métodos habituales: cuenta atrás, plazos ajustados y priorización de la divulgación de los archivos más sensibles para amenazar a la víctima. Finalmente, la víctima pagó al hacker 9,44 Bitcoins el 13 de junio de 2025, lo que equivalía aproximadamente a 1 millón de dólares según el precio de ese momento.
Esta amenaza, ocurrida en junio de 2025, no se ha hecho pública hasta ahora. Al compararlo con información pública conocida, se puede básicamente confirmar que la víctima es el condado de Union, Ohio, que tiene una población de 70.000 habitantes. Los datos robados cubren los números de seguro social de los residentes, información financiera, información de huellas dactilares, números de pasaporte y otra información. Sin embargo, el condado de Union no ha admitido ser víctima ni ha pagado un rescate.
La pregunta clave es cómo demostrar que el hacker ha eliminado los datos:
Un millón de dólares estadounidenses se considera una pequeña escala en un ataque de ransomware y no merece atención. Lo que llama la atención en este caso es el principio de confianza, es decir, la víctima cree en la promesa del hacker de que los datos se eliminarán por completo después de recibir el dinero del rescate. De hecho, el hacker también presentó un documento llamado certificado de eliminación. Sin embargo, este certificado sólo puede demostrar que el hacker alguna vez fue propietario de estos archivos. No prueba que el hacker haya eliminado todos los archivos originales, ni puede probar que el hacker no haya copiado estos archivos a otros lugares.
De hecho, la fuga de datos puede tener consecuencias graves, pero si la víctima paga el rescate a ciegas sin consultar a una organización profesional, puede ser en vano. Siempre que la víctima crea crédulamente en los llamados archivos eliminados del pirata informático, de hecho, es posible que el pirata informático aún guarde estos archivos (y la probabilidad es extremadamente alta). En algún momento, el pirata informático puede revender los datos a piratas informáticos posteriores, y la víctima no sabrá que los datos se han filtrado hasta que estén en todas partes.
La preferencia de las instituciones de investigación es que las víctimas no paguen ningún rescate a los piratas informáticos, porque no hay garantía, pero es posible que la gran mayoría de las empresas o instituciones más pequeñas victimizadas eventualmente opten por pagar un rescate para lograr una seguridad superficial. Esto no sólo no es bueno para la seguridad de sus propios datos, sino que incluso seguirá alentando a los piratas informáticos, especialmente a los piratas informáticos que utilizan ransomware.