Descubre cómo la IA está transformando el marketing. Openclasses el 25 y 26 de marzo. ¡Quiero apuntarme!

Ver temas

Última actualización: 15 · 03 · 2024

Operación Cronos y la importancia de un buen análisis CTI

Hace un par de meses que el ambiente comenzaba a notarse enrarecido para los analistas de CTI, una especialidad que, por su naturaleza dinámica y retadora, se vuelve cada vez más esencial en el ámbito de la seguridad informática. Y es que, antes de la operación Cronos, se produjeron un par de sucesos que es […]

Hace un par de meses que el ambiente comenzaba a notarse enrarecido para los analistas de CTI, una especialidad que, por su naturaleza dinámica y retadora, se vuelve cada vez más esencial en el ámbito de la seguridad informática. Y es que, antes de la operación Cronos, se produjeron un par de sucesos que es importante conocer.

Los antecedentes de la Operación Cronos

Las operaciones llevadas a cabo contra Blackcat, en noviembre de 2023, provocaron que Lockbit se ofreciera a realizar una “fusión” con estos, en un intento de aprovechar la situación y recabar miembros procedentes del grupo Blackcat.
Por otro lado, a finales de enero de 2024 se produjo un baneo del usuario “Lockbitsupp” en dos de los principales foros de habla rusa debido a un presunto impago de uno de sus cooperadores. Por lo tanto, el ambiente ya empezaba a caldearse.

Lockbit y la Operación Cronos

En mitad de este huracán de sucesos, el día 20 de febrero, antes de que la información sobre el éxito relativo de la Operación Cronos se anunciase, en distintos foros ya se hablaba sobre diferentes especulaciones, recibiendo la respuesta literal por parte de Lockbit: “FBI pwned me”.
Más tarde, en su propio sitio web, se podía leer: «Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales: esta es una operación en curso y en desarrollo.».

Publicaciones de víctimas por parte de Lockbit

Lockbit comienza a publicar víctimas con el formato habitual. En estos post se revela información de sus víctimas por parte de los FFCCSS que habían participado en la operación: FBI, NCA y Europol, durante un par de días y en franjas horarias diversas. Parecía que la operación, en un principio, había sido un éxito. Esto permitió la explotación de una vulnerabilidad web en PHP que Lockbit no tenía debidamente parcheada, el famoso CVE-2023-3824, que permite la ejecución de código remoto.

Los detalles de operación

En esta operación se habían incautado diversos servidores, hasta 34, también panel de afiliados, blog y chats, se congelaron fondos en más de 200 cuentas y se realizaron dos arrestos. Además, con la colaboración de la policía japonesa, se publicó un descifrador con las claves privadas que habían sido obtenidas. Incluso llegaron a colgar un post que dejaba leer entre líneas que conocían la identidad del usuario, y presunto líder de la organización criminal, Lockbitsupp.
En los diferentes medios se podía observar una clara actitud de celebración por parte de la comunidad ciber, siendo los posts publicados en medios sobre esta operación el contenido más compartido durante esos días. Sin embargo, para algunos investigadores de CTI, esto era una reacción demasiado apresurada, pues ya contamos con la experiencia anterior de Blackcat, que, pocos días después de la operación, estaba de nuevo en funcionamiento.
Este tipo de situaciones remarca cómo, a través de una formación en CTI, los profesionales pueden aprender a realizar análisis profundos que van más allá de la superficie de las noticias.

Lockbit volvía a estar operativo

Debido a la organización de Lockbit y a su experiencia, no era algo extraño que tuvieran un plan de contingencia para este tipo de casos. Y así fue. Unos días después Lockbit emitió un comunicado en el nuevo sitio web que había sido levantado.
En él indicaban, que tenían una infraestructura bien preparada, y se jactaban de haberla restaurado en apenas 4 días. Por otro lado, desmentían claramente que los dos detenidos fruto de la operación Cronos pertenecieran a la banda y señalaban que se había detenido a inocentes.
Se reafirmaban en la continuidad de su actividad y señalaban al pentester como el único profesional con un mérito real dentro de la operación, ya que había sido capaz de localizar la vulnerabilidad de su sitio web. A esto, añadieron que, esta no había sido parcheada porque “de tanto nadar en dinero se habían vuelto perezosos”.

La importancia del CTI en el Cibercrimen

Pero lo que sí se confirmó fueron las teorías que varios analistas CTI discutimos esos días, que en la operación Cronos “no era oro todo lo que relucía” y que, al igual que pasó con Blackcat, no iba a ser una medida que dejara fuera de combate de forma definitiva al grupo.
Aquí subyace la importancia de un buen análisis en el que se tiene en cuenta el contexto, las peculiaridades y particularidades que rodean a todo el entorno del cibercrimen. Conocer estas variables y tenerlas en cuenta mientras las noticias se convierten en el centro de atención es vital a la hora de dotar de verdadero valor a la información.

¿Verdaderamente Lockbit está publicando nuevas víctimas?

En los últimos, los investigadores han comenzado a reparar en que alguna de estas compañías publicadas por Lockbit habría sufrido el ataque antes de la Operación Cronos. Por lo tanto, Lockbit estaría publicando víctimas antiguas.
Esto nos da a entender que, a pesar de que es altamente probable que la infraestructura de Lockbit esté preparada para operar conforme a lo habitual, la pérdida de confianza entre ella y los afiliados, es una consecuencia de la operación. Por lo tanto, el equipo de Lockbit se habría visto obligado a realizar este tipo de publicaciones para animar a sus socios a continuar con el trabajo normal. Todavía es pronto para saber si esto tendrá éxito o no, y cuáles serán los siguientes pasos, aunque tenemos el ejemplo de ALPHV, que en menos de un mes estaba de nuevo operativo.

La importancia de una buena formación en CTI

La capacidad de realizar un análisis contextual y detallado, considerando las peculiaridades que rodean al cibercrimen, es fundamental. La formación en CTI, como la que ofrece DKS, no solo prepara a los estudiantes para entender estos contextos, sino también para aportar valor añadido a la información, una habilidad invaluable tanto para empresas privadas como para la colaboración con organismos públicos.

 

Ainoa Guillen González

El artículo Operación Cronos y la importancia de un buen análisis CTI fue escrito el 15 de marzo de 2024 y guardado bajo la categoría Ciberseguridad. Puedes encontrar el post en el que hablamos sobre Descubre la importancia de un buen analisis CTI y conoce el área de formación en ciberseguridad de DKS..

Esta formación te puede interesar

Nuestros cursos

Descrubre nuestros cursos

11 · 02 · 2026

Herramientas de pentesting: el arsenal imprescindible del hacker ético

¿Sabes cuáles son las herramientas pentesting más utilizadas en el ámbito profesional? ¿Cómo se aplican en cada fase de un test de penetración y por qué dominarlas es fundamental para avanzar en ciberseguridad? Respondemos todas tus dudas para que puedas hacer hacker ético con todas las garantías. ¿Qué es el pentesting y por qué dominar […]

06 · 02 · 2026

Metodología PTES: el estándar esencial para un pentesting efectivo

A la hora de ejecutar pruebas de penetración es necesario hacerlo bajo una metodología estandarizada como PTES. Te contamos en qué consiste, cómo funciona y por qué motivo deberías aplicarla para realizar un pentesting efectivo. ¿Qué es PTES? Se trata de un marco de trabajo diseñado para estandarizar la ejecución de pruebas de penetración, de […]

06 · 02 · 2026

Metodología OSSTMM: la guía esencial para auditorías de ciberseguridad efectivas

La metodología OSSTMM evalúa la seguridad orientándose en la realidad operativa. Te contamos cómo puedes utilizarla para realizar auditorías de ciberseguridad efectivas en cualquier sector. Descubre todas las particularidades y ventajas de la OSSTMM. ¿Qué es OSSTMM? En primer lugar es necesario saber que la OSSTMM (Open Source Security Testing Methodology Manual) es una metodología […]

05 · 02 · 2026

MITRE ATT&CK: Qué es y por qué es clave en ciberseguridad

Para poder defenderte en cualquier ámbito y más en el de la ciberseguridad es necesario conocer cómo actúan los atacantes. El MITRE ATT&CK permite proteger sistemas, datos y organizaciones. Te contamos qué es y por qué es una referencia imprescindible en ciberseguridad. ¿Qué es MITRE? Un pilar en la investigación de ciberseguridad Hablar de MITRE […]

Llama ahora

y un asesor te informará
sin compromiso

+34 810 512 108

o si lo prefieres

¿Te llamamos?

    DIGITAL SCHOOL, S.L.U. (en adelante, "DKS Digital Knowledge School"), tratará los datos de carácter personal que usted ha proporcionado con la finalidad de: atender a su solicitud de información, reclamación, duda o sugerencia que realice sobre los productos y/o servicios ofrecidos por DKS Digital Knowledge School, incluido por vía telefónica, o a través de WhatsApp,, así como para mantenerle informado de nuestra actividad.

    A su vez, le informamos que vamos a realizar un perfilado de sus datos de carácter personal para poderle enviar información personalizada en función de sus intereses. Puede consultar información adicional haciendo clic aquí .

    Usted podrá revocar el consentimiento otorgado, así como ejercitar los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, mediante solicitud dirigida en Calle García Martín 21, 28224 Pozuelo de Alarcón, Madrid, o a la siguiente dirección de correo electrónico lopd@kschool.com, identificándose debidamente. Si lo desea, puede consultar información adicional y detallada sobre protección de datos en el siguiente enlace.
    Deseo recibir información, también por WhatsApp, de DKS Digital Knowledge School y otras empresas educativas del Grupo Proeduca.