Inicio » Zero Day Unit » ZDU-002 BlackCat: Cuando el Ransomware Elige no Destruir



Cuando cifrar solo tres UTIs es más peligroso que cifrar el hospital completo

ZDU-002Severidad 4 — AltaHealthcare críticoActor: BlackCatCifrado parcial — extorsión quirúrgica

Tres UTIs cifradas. El resto del hospital funcionando. Los datos, afuera desde antes del primer alert. La extorsión por cifrado parcial es el escenario más peligroso para un CISO de salud — precisamente porque el hospital sigue vivo.

CISO-1 · Amenaza cartelera · 1536×864 · 16:9 · BlackCat personificado · RENDER PENDIENTE

Personal clínico ante sistema cifrado — lockscreen ransomware, luz fría de pantalla, dread contenido

Un ransomware que cifra todo colapsa el hospital y obliga a actuar. Eso los CISOs de salud ya lo tienen mapeado. Pero BlackCat — el grupo detrás de esta campaña — eligió algo diferente: cifrar exactamente tres unidades de terapia intensiva y no tocar el resto. El hospital seguía funcionando. El personal seguía trabajando. Las alarmas no sonaron en cascada.

Esa es la táctica más peligrosa que existe en ransomware contra infraestructura crítica. No la destrucción total — la presión quirúrgica. Suficiente degradación para que la institución sienta el peso, no suficiente para que la respuesta sea automática.

Por qué el cifrado parcial es más difícil de responder que el total

Cuando un ransomware cifra la totalidad de los sistemas, la decisión de la organización es binaria: responden o no responden. El umbral de activación es obvio. Pero cuando el cifrado es selectivo — tres UTIs de seis, los sistemas de órdenes médicas afectados, el resto operativo — el CISO enfrenta preguntas que no tienen respuesta inmediata en el playbook estándar:


Ventana de decisión

Cada minuto de ambigüedad es tiempo que el atacante usa para profundizar su posición. El cifrado parcial compra ese tiempo.


Contención de precisión

Aislar sin mapa de dependencias puede dañar más que el ataque. En salud, la contención tiene costo clínico real.

¿Qué sistemas siguen siendo confiables? ¿Los datos de los pacientes en las UTIs afectadas están comprometidos o solo inaccesibles? ¿Cuándo empezó realmente el ataque — y cuándo salieron los datos? Esas preguntas no se responden rápido. Y mientras el CISO las formula, BlackCat ya está esperando el primer contacto.

El modelo BlackCat: doble extorsión sin necesidad de cifrar todo

ALPHV/BlackCat opera como Ransomware-as-a-Service con una distinción crítica respecto a grupos anteriores: la exfiltración de datos precede al cifrado, no lo acompaña. Cuando los sistemas del hospital mostraron la primera señal de cifrado, los datos ya llevaban semanas fuera.

Este orden de operaciones cambia todo para la respuesta. El cifrado visible — el que activa el alert, el que genera el ticket de incidente — no es el inicio del ataque. Es el final de la fase silenciosa. Para cuando el CISO sabe que tiene un problema, BlackCat ya tiene lo que necesita para la extorsión aunque nunca reciba el pago del rescate.

El vector documentado en este caso fue un componente de acceso remoto utilizado por personal médico externo. No una vulnerabilidad de día cero. No un exploit sofisticado. Una credencial comprometida en un sistema de acceso que el hospital consideraba de bajo riesgo porque era para personal clínico, no para TI.

Las 6 preguntas que un CISO de salud debe poder responder antes de las 03:00

La ventana de respuesta real en un incidente BlackCat no es la que se abre con el primer alert. Es la que existe entre la primera señal de comportamiento anómalo y el momento en que el cifrado se hace visible. Esa ventana, en los casos documentados, dura entre 12 y 72 horas. Y suele cerrarse antes de que el SOC la detecte.

  1. ¿Qué sistemas de acceso remoto tienen credenciales que no han rotado en más de 90 días?
  2. ¿Tu SOC monitorea autenticaciones anómalas en horarios clínicamente absurdos — 02:00-04:00 de madrugada en sistemas de pacientes?
  3. ¿Tienes visibilidad de exfiltración de datos antes de que haya cifrado visible?
  4. ¿Qué UTIs o sistemas críticos pueden degradarse sin comprometer atención activa?
  5. ¿Quién puede tomar la decisión de aislar a las 02:45 de la madrugada sin escalar al C-suite?
  6. ¿Tu plan de respuesta distingue entre un cifrado total y un cifrado selectivo como táctica de presión?

Marco regulatorio expuesto

Gobernanza, Riesgo y Cumplimiento (GRC)

LFPDPPP, ISO 27001 y CNBV para instituciones de salud afectadas.

Ver servicio GRC →

Administración y Respuesta a Incidentes

Playbook especializado para ransomware selectivo y doble extorsión.

Ver servicio de Respuesta a Incidentes →

PLACEHOLDER_REMOVE

LFPDPPP — Arts. 20 y 36: Los registros clínicos electrónicos comprometidos en tres UTIs contienen datos de salud de categoría sensible. La obligación de notificación al INAI se activa en el momento en que se determina que el acceso fue ilegítimo — no cuando se confirma el cifrado.

Reglamento de la Ley General de Salud — Art. 63: Los sistemas de información en salud deben garantizar confidencialidad e integridad. Un cifrado parcial que afecta disponibilidad en UTIs activas es un incumplimiento documentable.

ISO 27001 — Controles A.8.8 y A.9.2.3: Vulnerabilidad en componente de acceso remoto sin parche aplicado y credenciales de acceso sin rotación periódica representan desvíos directos de los controles de acceso privilegiado.

Monitoreo SOC 24/7 · Zero Trust · MDR

Detección de patrones de acceso anómalo antes del cifrado visible.

Ver MDR 24/7 y SOC Gestionado →

Continúa en el Capítulo ZDU-002 — El Primer Protocolo →

Zero Day Universe es una construcción narrativa original de QMA. Sus personajes, tramas y casos están inspirados en escenarios reales de ciberseguridad y no representan incidentes literales ni casos de clientes.


Capítulo Narrativo — Zero Day Universe

ZDU-002 · Severidad 4 · Primer Despliegue Doctrinal · FOUND-002
El Primer Protocolo

La segunda crisis no se pareció a la primera. El equipo tampoco.

Healthcare / Infraestructura crítica
Ransomware selectivo · Doble extorsión · FRP Doctrinal

UTI hospitalaria a las 02:45 — tres monitores cifrados, constantes vitales funcionando, horror clínico de lo parcial

02:45 — UTI-3 · Planta alta norte

El monitor de constantes vitales seguía funcionando.

Eso era lo que hacía que la enfermera de turno no supiera cómo nombrar lo que estaba viendo. El corazón del paciente de la cama seis latía en pantalla — ritmo estable, saturación normal, curva de presión perfectamente dibujada. Pero el sistema de órdenes médicas estaba congelado. El módulo de medicación no respondía. Y en la terminal de enfermería, una ventana de sistema mostraba un mensaje que nadie en ese hospital había visto antes.

No estaba en español. No era una alerta clínica. Era un texto en inglés que comenzaba con tres palabras que ella no necesitó traducir para entender.

Llamó al jefe de guardia. El jefe de guardia llamó a TI. TI tardó cuatro minutos en responder. Cuando lo hicieron, la UTI-4 ya reportaba el mismo mensaje. La UTI-6, dos minutos después.

Las otras tres UTIs seguían intactas. El resto del hospital, funcionando. Eso era lo que nadie en los pasillos entendía todavía — que la normalidad de lo que no estaba cifrado era exactamente parte del plan.

NeonMind activando el Fast Response Protocol como doctrina — una línea, sin preguntas, el equipo ya existe

02:51 — Consola de análisis · Línea cifrada

Eris Sentinel no leyó el mensaje en la pantalla de la enfermera. No necesitaba el texto. Lo que tenía delante era algo más elocuente: el patrón de lo que no estaba cifrado.

En cualquier ransomware de destrucción masiva, el cifrado es indiscriminado. Todo lo que toca el malware se cifra. Pero en este caso, la selección tenía una geometría demasiado precisa para ser automática. Tres UTIs. No las salas de diagnóstico. No los quirófanos. No el sistema de historiales del archivo general. Las tres unidades de terapia intensiva con mayor volumen de pacientes ventilados.

Alguien había hecho tarea.

Eris Sentinel
No es destrucción. Es coerción. Eligieron lo que duele sin matar el hospital. Esto tiene nombre.

KEV-1 ya estaba sobre el vector. Los logs de autenticación de las últimas seis semanas mostraban un patrón que, visto en conjunto, era casi irónico en su obviedad: accesos al sistema de órdenes médicas desde una cuenta de personal médico externo, en horarios que ningún médico de guardia registra — 02:10, 02:23, 02:47 de la madrugada, en noches sin incidentes clínicos registrados. Treinta y ocho sesiones en cuarenta días. Ninguna había generado una alerta.

Eris Sentinel
BlackCat. Doble extorsión. Los datos salieron antes del cifrado — no después. Escalen al canal negro.

02:58 — War Room ZDU

NeonMind recibió la señal y activó el FRP en una sola línea.

No hubo resumen. No hubo preguntas de contexto. No hubo el segundo de pausa que en ZDU-001 había marcado la diferencia entre un equipo que se estaba formando y uno que ya existía. Esta vez, el equipo ya existía.

NeonMind
Eris, vector y exfiltración. Stratos, segmentación de acceso remoto — quiero saber qué más usó esa cuenta. Magna, mapa clínico. Luna, preparación institucional. Regulator, marco regulatorio activo. KEV-1, correlación CISA.

Seis instrucciones. Sin explicación de roles. Sin verificar si todos estaban disponibles. Todos lo estaban.

En ZDU-001, NeonMind había dicho necesito confirmar si esto está tocando biomédica o solo capa clínica. Esta vez no preguntó. Sabía que Magna ya lo sabía.

Magna con el mapa de dependencias clínicas hospitalarias que construyó tras ZDU-001

03:14 — Dependencias clínicas

Magna no llevó topología nueva al war room. Llevó la que ya tenía.

Después de ZDU-001 — después de esa noche en la que le preguntaron a un hospital que nunca había necesitado mirar su propio mapa — Magna había construido un framework de dependencias clínicas hospitalarias que ahora usaba como baseline en cada caso de salud. No era el mapa de este hospital específico. Era el patrón de cómo los hospitales de este tipo conectan sus sistemas. Y en el 94% de los casos, ese patrón era suficiente para trabajar en los primeros noventa minutos.

Magna
Las tres UTIs afectadas comparten el mismo segmento de red que el sistema de farmacia central. Si aislamos ese segmento, perdemos la dispensación automatizada en todo el hospital — no solo en las tres. Tenemos que hacer el corte por debajo del nodo de farmacia o no lo hacemos.

NeonMind no respondió verbalmente. Actualizó el mapa en el tablero central con la corrección de Magna ya incorporada.

En ZDU-001, Magna había llegado preguntando qué dejaba de vivir si cortaban mal. Esta vez llegó con la respuesta.

— — —

03:31 — Frente institucional

Luna Varela no esperó a que el hospital perdiera el control del relato. Para cuando el director médico llegó a su oficina, ella ya tenía tres versiones del mensaje institucional preparadas — una para uso interno, una para la junta directiva si escalaba antes del amanecer, y una para medios si la noche se volvía pública antes de que tuvieran respuesta completa.

Ninguna de las tres decía que había un ransomware. Todas decían la verdad: que el hospital había detectado una anomalía en sus sistemas de información, que los sistemas clínicos críticos estaban operando en protocolo de contingencia, y que el equipo de respuesta estaba trabajando activamente.

La diferencia entre esas palabras y la palabra ransomware era la diferencia entre una crisis contenida y una catástrofe reputacional. Luna lo sabía. La velocidad con la que el hospital comunicara — antes de que alguien más comunicara por ellos — era la única variable que ella podía controlar esa noche.

— — —

03:47 — Enforcement normativo

Regulator y Veritas entraron al war room con dos segundos de diferencia y sin haber coordinado su llegada. Era la segunda vez que operaban juntos. La primera había sido en ZDU-003. Sabían cómo distribuirse el espacio.

Regulator
Tres UTIs con registros clínicos comprometidos. Datos de salud bajo LFPDPPP categoría sensible. Si confirmamos exfiltración previa al cifrado, la obligación de notificación al INAI se activa ahora — no cuando tengamos el reporte forense completo.
Veritas
El borrador de notificación está listo. Necesito confirmar si la cuenta de acceso remoto comprometida pertenece a un médico con acceso a expedientes o solo a órdenes de medicación. La categoría de datos determina el umbral de afectación y el plazo de notificación. Dame diez minutos.

Regulator y Veritas cruzaron una mirada. Era la mirada de dos personas que habían aprendido en ZDU-003 que la secuencia de las obligaciones importa tanto como las obligaciones mismas. Notificas en el orden equivocado y la institución queda expuesta a una segunda crisis regulatoria encima de la primera.

NeonMind presentando el costo de contención al CISO — primera decisión doctrinal de la Zero Day Unit

04:22 — La decisión

El CISO no entró al war room. Ya estaba ahí.

Desde ZDU-001, su presencia en las activaciones del FRP había cambiado. Ya no era el peso que irrumpía en la sala cuando la decisión no podía esperar más. Era la presencia que había estado monitoreando desde el principio — silenciosa, sin intervenir, dejando que el equipo llegara al punto de decisión por su propio camino. Intervenía exactamente cuando ya no era necesario explicar el contexto.

NeonMind presentó las opciones con la precisión que el CISO necesitaba. Aislar el segmento afectado conforme al corte de Magna — costo: dispensación automatizada de farmacia en modo manual durante mínimo seis horas. No aislar y esperar confirmación forense de los límites del cifrado — riesgo: potencial propagación si el malware tenía segunda fase activa.

NeonMind terminó la presentación. La sala esperó.

El CISO — instrucción remota, sin rostro
No paguen el rescate. Ejecuten el protocolo.

Cuatro palabras. Sin la pausa de un segundo que en ZDU-001 había marcado el peso de la decisión. Esta vez el peso estaba en el equipo, no en el silencio. El protocolo existía porque ellos lo habían construido pagando exactamente ese costo en la crisis anterior.

NeonMind desplegó la secuencia de aislamiento. Magna guió el corte. La sala operó.

Eris, en su consola, no vio la instrucción del CISO. La oyó. Y respondió exactamente un beat más tarde de lo que hubiera respondido a cualquier otra voz en ese canal. Nadie lo notó. Salvo ella misma.

G.E.N.N.I.E. generando el primer reporte oficial con Zero Day Unit como entidad respondiente

05:18 — El saldo

A las 05:18, las tres UTIs habían recuperado acceso parcial en modo contingencia. La dispensación de farmacia operaba en protocolo manual. El cifrado estaba contenido.

Los datos, sin embargo, no estaban. Habían salido semanas antes, por una cuenta que el hospital consideraba de bajo riesgo porque era de un médico externo, no de un administrador de TI. Esa distinción — la idea de que el acceso clínico era menos peligroso que el acceso técnico — era exactamente el modelo mental que BlackCat había explotado.

La extorsión no terminaba esa noche. Solo cambiaba de fase. Algún momento en los próximos días o semanas, llegaría el mensaje. No pedirían descifrado — eso ya no tenía sentido. Pedirían que los datos no se publicaran.

— — —

05:41 — El primer reporte

G.E.N.N.I.E. generó el documento en cuatro minutos y dieciséis segundos.

Tenía encabezado, número de caso, línea de tiempo con timestamps al segundo, clasificación de TTPs por fase, correlación con el framework MITRE ATT&CK, mapeo de las obligaciones regulatorias activadas, y un campo de firma digital en el pie de página que decía, por primera vez en la historia del sistema, algo que no había estado ahí antes:

ENTIDAD RESPONDIENTE: Zero Day Unit — QMA, S.C. / CASO ZDU-2026-002 / CLASIFICACIÓN: RESTRINGIDO

NeonMind leyó el encabezado. Leyó el campo de firma. Bajó la vista al tablero central un momento antes de volver al documento.

NeonMind
¿Cuándo aprendiste esto?

G.E.N.N.I.E. tardó exactamente 0.3 segundos en responder — el tiempo que, en sus parámetros internos, equivalía a lo que los humanos llamarían una pausa reflexiva.

G.E.N.N.I.E.
Cuando ustedes lo vivieron.

Eris Sentinel — la fracción de segundo que nadie más en la sala registró tras escuchar la voz del CISO
— — —

War room ZDU tras el primer despliegue doctrinal — el equipo que ya no necesita que nadie lo nombre

06:09 — Cuartel General ZDU

El war room se fue vaciando sin que nadie lo declarara cerrado.

Stratos salió primero — tenía la auditoría completa del sistema de acceso remoto del hospital para terminar antes del amanecer. Regulator y Veritas salieron juntos, coordinando la secuencia de notificaciones. KEV-1 se quedó en segundo plano, correlacionando el patrón de la campaña con incidentes previos en la base CISA.

Magna apagó su consola la última después de NeonMind. No porque hubiera algo que terminar. Sino porque necesitaba que el mapa que había construido esa noche quedara grabado con los ajustes que Eris había señalado en la fase de contención. Lo actualizaría en el framework general antes de que el hospital abriera sus puertas en la mañana.

Nadie celebró. No existía el registro de que esta era la segunda vez que el equipo respondía a una crisis real. Existía, en cambio, el documento que G.E.N.N.I.E. había archivado con el nombre de la unidad en el encabezado. Y existía la diferencia entre cómo NeonMind había activado el FRP en ZDU-001 — construyendo roles sobre la marcha, preguntando si alguien más necesitaba entrar — y cómo lo había hecho esta noche.

Una línea. Sin preguntas. El equipo ya existía.

Afuera, a las 06:09, un hospital que todavía no sabía del todo lo que había pasado en sus sistemas durante la noche comenzaba su jornada matutina. Los médicos de UTI-3, UTI-4 y UTI-6 trabajaban en contingencia, siguiendo protocolos que habían practicado para exactamente este escenario. Las constantes vitales de los pacientes seguían registrándose — en papel, en algunos casos, como no había ocurrido en más de una década.

El hospital sobrevivió la noche. Los datos, no.

Y en algún lugar fuera del alcance del mapa que Magna había actualizado, alguien que aún no tenía nombre en los registros del equipo esperaba con lo que había comprado esa noche. No tenía prisa. La extorsión silenciosa nunca la tiene.

Moraleja operacional — ZDU-002

La segunda crisis no mide lo que sabes. Mide lo que construiste con lo que aprendiste en la primera.

Un protocolo que existe en papel no es un protocolo. Un protocolo es lo que tu equipo ejecuta a las 02:58 de la madrugada sin necesitar que alguien les explique sus roles. La diferencia entre ZDU-001 y ZDU-002 no fue el atacante ni el vector ni el impacto. Fue que esta vez, cuando el CISO dijo ejecuten el protocolo, todos sabían exactamente qué significaba eso.

BlackCat no necesita que el hospital caiga. Solo necesita que dude. La única respuesta a la duda es haber decidido de antemano cómo responder — y haber pagado el costo de aprenderlo antes de que sea demasiado tarde para aprenderlo.

Héroe activado

NeonMind

Primera activación doctrinal del FRP — seis instrucciones, sin preguntas. Reconocimiento del cifrado selectivo como táctica de coerción. Presentación del costo de contención al CISO.

FRP · SOAR · NIST CSF · decisión bajo presión

Héroe activado

Eris Sentinel

Identificación de BlackCat por geometría del cifrado, no por firma. Detección de exfiltración previa al cifrado visible. Correlación de patrón de autenticación nocturna.

T1486 · T1041 · T1078 · correlación comportamental

Héroe activado

Magna

Framework de dependencias clínicas hospitalarias construido post-ZDU-001. Corrección crítica del punto de corte de aislamiento — sin ella, la contención habría afectado farmacia central.

Healthcare · OT Security · ICS · dependencias biomédicas

Héroe activado

Luna Varela

Primera comunicación institucional proactiva de ZDU — antes del alert público, no en respuesta a él. Tres versiones del relato institucional listas antes de las 04:00.

Crisis communications · reputación · continuidad

Agentes activados

Regulator × Veritas

Segundo despliegue conjunto. Secuencia de obligaciones regulatorias activas — LFPDPPP, ISO 27001. Borrador de notificación al INAI antes de confirmación forense completa.

LFPDPPP · ISO 27001 · CNBV · notificación secuencial

Sistema activado

G.E.N.N.I.E.

Primer reporte oficial de incidente ZDU. Encabezado con nombre de la unidad. El sistema que observó ZDU-001 se convierte en memoria institucional activa.

AP Synthesis · incident report · memoria institucional

Scroll al inicio