La fascinante historia del ascenso del malware Qakbot, la operación del FBI para desmantelarlo y los ciberdelincuentes que no se rindieron fácilmente.

La reciente operación del FBI contra el malware Qakbot, también conocido como Qbot, tuvo un impacto momentáneo, ya que este software malicioso ha reaparecido con nuevas tácticas y mayor astucia. En agosto de 2023, las autoridades estadounidenses y sus socios internacionales se congratularon por la derrota de Qakbot, que había infectado más de 700,000 computadoras en todo el mundo, incluyendo alrededor de 200,000 en Estados Unidos. Este malware fue relacionado con pérdidas de hasta 58 millones de dólares debido a ataques de ransomware. La operación, denominada Duck Hunt, condujo a la confiscación de 52 servidores y 8.6 millones de dólares en criptomonedas.

Sin embargo, a solo tres meses de esta importante intervención, Qakbot volvió a hacer su aparición. Esto pone de relieve la efectividad limitada de las acciones policiales en la lucha contra el cibercrimen. En lugar de retirarse tras la operación, el supuesto líder de Qakbot, Rustam Rafailevich Gallyamov, junto a su equipo, decidió adaptarse. En lugar de las técnicas tradicionales de phishing, adoptaron nuevos métodos más engañosos.

Recientes documentos judiciales revelan una estrategia innovadora que involucra "ataques de spam bomb" que inundan los correos electrónicos de los empleados con correos no deseados. Luego, los atacantes se hacen pasar por personal de informática para engañar a las víctimas y hacer que ejecuten códigos maliciosos. Esta táctica ha permitido a los ciberdelincuentes volver a acceder a los sistemas de las compañías, cifrar archivos y robar datos sensibles.

Los documentos de la corte indican que Gallyamov y sus cómplices lanzaban estos ataques dirigidos a los empleados de las empresas afectadas. Una vez que obtenían acceso, las consecuencias eran inmediatas: robo de datos, cifrado de información y exigencias de rescate.

Qakbot permite a los atacantes crear puertas traseras en los sistemas, instalar amenazas adicionales y recolectar credenciales. Se ha señalado que operadores de ransomware como REvil, Black Basta y Conti han pagado a Gallyamov y sus colaboradores por acceso a sus redes o han compartido parte de sus ingresos extorsionados. Aunque en abril de 2025 se le confiscaron más de 30 bitcoins y 700,000 dólares, Gallyamov sigue libre en Rusia, fuera del alcance de la ley estadounidense. Como afirmaron funcionarios federales, si no decide abandonar la protección de su país, es probable que siga intocable.

Para protegerse de este tipo de amenazas, las organizaciones necesitan invertir en los mejores antivirus y en plataformas de protección de endpoints que puedan ayudar a detectar y aislar actividades sospechosas antes de que se conviertan en violaciones de datos o ataques de ransomware.