Robar al ladrón: cómo investigadores penetraron los sistemas de los operadores de Rhadamanthys y extrajeron datos secretos
Resulta que incluso los sistemas más seguros siempre tienen alguna brecha que los analistas expertos pueden aprovechar.
La vulnerabilidad en el panel de control del malware diseñado para robar información Rhadamanthys abrió, de forma inesperada, una rara oportunidad para proteger a las víctimas, aunque no supuso una victoria sonada contra los atacantes. La historia que relataron en SANS CTI Summit 2026 muestra un lado menos visible de la lucha contra la ciberdelincuencia: incluso hallazgos valiosos a menudo chocan con los límites de las competencias de las empresas privadas y no permiten detener rápidamente toda la operación.
Rhadamanthys apareció en el mercado de este tipo de malware en el verano de 2022 y rápidamente se situó entre las herramientas para robar credenciales, contraseñas, datos de navegadores, carteras de criptomonedas y otros archivos sensibles. Ese tipo de registros de infección luego se convierten en mercancía en los mercados clandestinos, donde las cuentas robadas se revenden para nuevos ataques.
Los autores del informe describieron un punto débil en las primeras versiones del panel web de Rhadamanthys. Normalmente los operadores necesitaban usuario y contraseña para acceder a la interfaz, pero parte de las solicitudes de la API seguía estando accesible sin verificación. Ese fallo permitía consultar información sobre las infecciones y descargar datos directamente desde el servidor de control.
Un equipo de especialistas y socios de confianza decidió utilizar el acceso no para interferir en infraestructuras ajenas, sino para reducir el daño. Desde noviembre de 2022 hasta principios de enero de 2023, el grupo recopiló credenciales recientemente robadas que aparecían en los paneles vulnerables y luego remitió los datos a través de los canales existentes de notificación a las víctimas y de respuesta. En el punto álgido del trabajo, el conjunto de observación abarcó 303 servidores de control y más de 70.000 registros de infección.
La operación no provocó una interrupción total de la actividad de Rhadamanthys. El malware continuó funcionando y, tras corregirse el error y la migración de los operadores a nuevas versiones, el acceso a los datos desapareció. Según el autor de la investigación, en situaciones como esta el sector privado puede aprovechar la oportunidad para reducir las consecuencias, pero no tiene derecho a modificar por su cuenta sistemas ajenos ni a dejar fuera de servicio infraestructuras.
La historia de Rhadamanthys se convirtió en un ejemplo de lo limitadas que son las capacidades de las empresas privadas sin la participación de las fuerzas del orden. Para un efecto a largo plazo se necesita coordinación con quienes pueden actuar en el marco legal, notificar a las víctimas a gran escala y preservar las pruebas.
En el contexto de operaciones internacionales conjuntas como Endgame y Cronos, el caso de Rhadamanthys muestra otra realidad: un resultado notable en ciberseguridad a menudo no se presenta como una desconexión espectacular de la red de los atacantes, sino como una reducción puntual y cuidadosa del daño.