"Venderemos tus datos": Principal emisora española rehén de hackers rusos

Una popular emisora de radio española con más de un millón de oyentes ha sido atacada por cibercriminales conocidos por causar caos y exigir enormes sumas de dinero.

KISS-FM se ha convertido en el último objetivo de alto perfil de la banda de ransomware Rhysida, vinculada a Rusia, que ahora subasta los supuestos datos robados de la emisora en la dark web.

Rhysida ha incluido a KISS-FM entre sus víctimas más recientes en su sitio de filtraciones, exigiendo tres bitcoins, lo que equivale a unos 300.000 dólares (aproximadamente 260.000 euros), y dando a la empresa un plazo de siete días para pagar antes de que vendan o filtren los datos robados.

Publicaciones como estas en la dark web son un intento común de presionar a las empresas para que paguen rescates. El grupo Rhysida es conocido por tácticas de doble extorsión: los hackers no solo bloquean datos con ransomware, sino que también amenazan con filtrarlos si la empresa no paga.

"¡Aprovecha la oportunidad de pujar por datos exclusivos, únicos e impresionantes! Abre tu billetera y prepárate para comprar datos exclusivos. Vendemos solo a una mano, sin reventa, ¡serás el único propietario!", afirman los atacantes en la publicación.

Para demostrar la legitimidad de sus afirmaciones, la banda proporcionó capturas de pantalla de baja calidad con muestras de datos robados. Cybernews ha inspeccionado las imágenes, que indican que entre los datos robados podrían estar:

• Posibles registros de calificaciones de audiencia
• Documentos intercambiados entre la empresa y el Ministerio de Transformación Digital de España
• Posibles facturas

Basándose en las capturas de pantalla proporcionadas, no hay indicios claros de que se hayan robado datos personales de empleados. Sin embargo, esto no se puede confirmar, ya que el alcance total de la brecha sigue siendo desconocido.

"Aunque los detalles de los documentos supuestamente filtrados no están completamente claros, en general este tipo de exposición de datos podría causar pérdida de confianza pública, atraer escrutinio bajo las regulaciones de protección de datos de España y el RGPD, y alterar las relaciones comerciales", explicaron nuestros investigadores.

Cybernews se ha puesto en contacto con la empresa para obtener aclaraciones sobre si tuvo lugar algún incidente cibernético y si las afirmaciones son legítimas. Aún no hemos recibido respuesta.

La emisora KISS-FM es propiedad del grupo mediático español Mediaset España, que opera varios canales de televisión y una productora cinematográfica. La compañía presumió de unos ingresos anuales de 2.950 millones de euros el año pasado.

Mediaset España es una filial de la empresa con sede en Italia MediaForEurope N.V. (MFE), que es propiedad mayoritaria de la familia Berlusconi.

¿Qué es el ransomware Rhysida?

La banda es conocida por ir tras "objetivos de oportunidad" y ha infiltrado varios sectores, incluyendo educación, sanidad, manufactura y gobiernos locales, según un perfil actualizado del Departamento de Defensa de Estados Unidos sobre el grupo.

Investigadores de seguridad de Barracuda señalaron que el grupo parece proceder de Rusia o de algún país de la Comunidad de Estados Independientes (CEI), que incluye antiguas naciones de la Unión Soviética como Bielorrusia, Kazajistán y otras.

En su operación más reciente, Rhysida fue sorprendido realizando phishing a usuarios utilizando Microsoft Teams, Zoom y PuTTY con anuncios maliciosos, con el objetivo de infectar sus dispositivos con malware y obtener acceso a los datos de las empresas a través de empleados que utilizan estas plataformas.

Según la herramienta de monitoreo de la dark web de Cybernews, Ransomlooker, la banda ha reclamado más de 236 víctimas en su blog oscuro desde su creación en mayo de 2023.

En septiembre, la banda afirmó haber vulnerado el Departamento de Transporte de Maryland (MDOT), que opera uno de los puertos más grandes de Estados Unidos. Las muestras de datos de la información robada incluían pasaportes, documentos de identidad, verificaciones de antecedentes y otros documentos sensibles.

En agosto, un ataque de Rhysida causó caos en el Centro Médico Regional de Cookville, que presta servicios a las regiones circundantes de Tennessee y Kentucky. La banda publicó más de una docena de muestras de datos que contenían información de pacientes, y la interrupción del servicio obligó a los equipos de TI a trabajar las 24 horas para restaurar los sistemas.

En mayo, la banda afirmó haber atacado los sistemas gubernamentales de Perú. El sitio web oficial del gobierno gestiona el Registro Nacional de Identificación, que incluye pasaportes, información fiscal, seguro de salud, registros policiales, registros laborales y más. El gobierno peruano negó el ataque de ransomware.

También ha afirmado haber vulnerado uno de los concesionarios de automóviles más grandes de Brasil, llamado Carrera. Entre los datos sensibles supuestamente robados se encontraban pasaportes y contratos. La banda pidió un rescate de 1 millón de dólares.

En enero pasado, la banda Rhysida afirmó haber penetrado en los servidores de Montreal-Nord, un distrito de la provincia de Quebec, y les impuso una demanda de rescate de 1 millón de dólares.

En el último trimestre de 2024, Rhysida también saltó a los titulares al atacar el Aeropuerto Internacional Seattle-Tacoma con una demanda de rescate de 100 BTC. El ataque devastó sistemas críticos y provocó una interrupción de varias semanas que puso de rodillas a uno de los aeropuertos más transitados de la Costa Oeste.

Aerolíneas como Delta, Singapore y Alaska se vieron supuestamente obligadas a funcionar completamente en analógico y emitir tarjetas de embarque escritas a mano.

El mismo año, la banda reclamó como víctima a un importante medio de comunicación estadounidense, el Washington Times. Afirmaron estar vendiendo los datos "exclusivos" del Washington Times en una subasta online por cinco bitcoins.

---

Descubre más contenido exclusivo de Cybernews en YouTube.