¿Qué son los Conti Leaks?

Son la filtración masiva de chats internos (Jabber/XMPP), código fuente del ransomware, manuales de operación, herramientas internas y datos financieros del grupo Conti. Ocurrió en febrero-marzo de 2022, tras la invasión rusa de Ucrania, cuando un investigador ucraniano infiltrado publicó los datos.

¿Por qué se filtraron los chats de Conti?

El 25 de febrero de 2022, un día después de la invasión rusa de Ucrania, Conti publicó un comunicado apoyando al gobierno ruso. Un investigador ucraniano con acceso a la infraestructura interna de Conti respondió filtrando los chats y datos internos del grupo.

¿Cuántas personas trabajaban en Conti?

Los leaks revelaron una organización de entre 65 y 100 personas con roles definidos: desarrolladores, pentesters, negociadores, recursos humanos, administradores de sistemas y gestores. Operaban como una empresa con horarios de oficina, salarios mensuales y evaluaciones de rendimiento.

¿Se puede acceder al código fuente de Conti?

El código fuente fue publicado en repositorios públicos y ha sido analizado extensivamente por la comunidad de seguridad. Ha servido para crear decryptors y para entender las técnicas criptográficas del grupo. También ha sido reutilizado por otros grupos criminales para crear variantes.

¿Qué pasó con los miembros de Conti después de la disolución?

Conti se disolvió en mayo de 2022 pero sus miembros no desaparecieron. Migraron a varios grupos nuevos: Royal (luego rebrandeado como BlackSuit), Black Basta, BlackByte, Karakurt y Quantum. La experiencia y las herramientas de Conti perviven en estos grupos sucesores.

IntermedioransomwareContileaksthreat intelligenceorganizaciones criminales

Conti Leaks: El Dataset Educativo Más Valioso en la Historia del Ransomware

Análisis exhaustivo de los Conti Leaks: chats internos, código fuente, manuales de operación y estructura organizativa del grupo de ransomware más documentado de la historia. Qué revelaron y qué lecciones ofrecen para los defensores.

MalwareIntel Research·21 de mayo de 2026·12 min lectura

Serie: Ransomware — Parte 6

Por qué Conti importa más muerto que vivo

Conti dejó de operar en mayo de 2022. Pero su legado es único en la historia del cibercrimen: nunca antes un grupo de ransomware de primera línea había sido expuesto tan completamente. Los Conti Leaks proporcionaron a la comunidad de seguridad algo que normalmente solo existe en las novelas de espionaje: una vista completa del interior de una organización criminal sofisticada.

Más de 60.000 mensajes internos, código fuente completo del ransomware, manuales de operación paso a paso, herramientas internas de ataque, datos financieros y la estructura organizativa completa. Para un analista de threat intelligence, esto es el equivalente a encontrar los planos completos de una fortaleza enemiga.

Este artículo analiza qué contenían los leaks, qué revelaron sobre cómo opera realmente un grupo de ransomware tier-1, y qué lecciones ofrecen para quienes defienden redes.

Contexto: Conti antes de los leaks

Perfil del grupo

Atributo	Detalle
Activo	Julio 2020 - Mayo 2022
Predecesor	Ryuk (mismo equipo core, rebrandeado)
Modelo	RaaS con modelo de "salarios" (no solo porcentaje)
Víctimas documentadas	Más de 850 organizaciones
Ingresos estimados	180 millones USD (Chainalysis)
Origen	Rusia (San Petersburgo, según investigaciones posteriores)
MITRE ID	G0129
Aliases	Wizard Spider (CrowdStrike), Gold Ulrick (Secureworks)

Ataques notables pre-leaks

Health Service Executive (HSE) de Irlanda (mayo 2021): sistema de salud público completo paralizado durante semanas. Conti proporcionó el decryptor gratuitamente tras la presión mediática, pero el coste de recuperación superó los 100 millones de euros.
JBS Foods (mayo 2021): la mayor procesadora de carne del mundo. Pagó 11 millones USD de rescate.
Gobierno de Costa Rica (abril 2022): ataque masivo a 27 instituciones gubernamentales. Conti exigió 10 millones USD (luego 20 millones). Costa Rica declaró estado de emergencia nacional.

La filtración: cómo ocurrió

25 de febrero de 2022: el detonante

Un día después de que Rusia invadiera Ucrania, el equipo de Conti publicó un comunicado en su leak site:

"El equipo Conti anuncia oficialmente su total apoyo al gobierno ruso. Si alguien decide organizar un ciberataque o cualquier actividad bélica contra Rusia, usaremos todos nuestros recursos posibles para contraatacar las infraestructuras críticas del enemigo."

Horas después, matizaron el comunicado (probablemente por presión interna de miembros ucranianos), pero el daño estaba hecho.

27 de febrero de 2022: comienzan los leaks

Un individuo identificado como investigador de seguridad ucraniano (con acceso interno a la infraestructura de Conti, posiblemente un miembro del grupo o un infiltrado) comenzó a publicar datos en Twitter bajo la cuenta @ContiLeaks:

Fecha	Contenido filtrado
27 feb 2022	Primera tanda de chats internos (Jabber/XMPP)
28 feb 2022	Segunda tanda de chats, 393 archivos JSON
1 mar 2022	Más chats, total ~60.000 mensajes
20 mar 2022	Código fuente completo de Conti v3 (ransomware + decryptor)
Mar-abr 2022	Herramientas internas, manuales, configuraciones de servidor

Volumen total filtrado

Chats: ~60.000 mensajes internos (enero 2021 - febrero 2022)
Código fuente: repositorio completo del ransomware Conti v2 y v3
Herramientas: Cobalt Strike configs, scripts de ataque, BazarLoader, TrickBot integrations
Documentos: manuales de operación, playbooks de ataque, guías de negociación
Datos financieros: wallets Bitcoin, flujos de pagos, "nóminas"

Estructura organizativa revelada

Conti como empresa

Los leaks revelaron que Conti operaba con una estructura empresarial formal. No era una colección caótica de hackers: era una organización con departamentos, jerarquías y procesos.

Departamento	Función	Personal estimado
Liderazgo ("Stern", "Mango", "Reshaev")	Dirección estratégica, decisiones de negocio	3-5
Desarrollo	Código del ransomware, loaders, tools	15-20
Pentesters ("Reversers")	Acceso inicial, movimiento lateral, escalada	20-30
Negociadores	Chat con víctimas, negociación de rescates	5-10
OSINT	Investigación de víctimas, estimación de revenue	3-5
Admin/Infra	Servidores C2, leak site, infraestructura	5-8
RRHH	Reclutamiento, onboarding, gestión de personal	2-3
IT interno	VPN, comunicaciones seguras, herramientas internas	3-5

Liderazgo identificado

Los chats revelan seudónimos del liderazgo y sus roles:

Stern (también "Demon"): líder principal, decisiones estratégicas y financieras
Mango: gestión operativa diaria, coordinación de equipos
Reshaev: arquitecto técnico principal del ransomware
Target: líder del equipo de pentesters
Hof: reclutamiento y gestión de personal
Bio: negociador principal con víctimas

Salarios y compensación

Los chats incluyen discusiones sobre pagos. A diferencia de otros programas RaaS donde los afiliados reciben un porcentaje, Conti pagaba "salarios" mensuales:

Rol	Salario mensual (USD)
Desarrollador senior	1.500 - 2.000
Pentester	1.000 - 1.500
Negociador	1.000 - 2.000 (+ bonos por cierres)
Soporte/junior	500 - 1.000
Liderazgo	Variable (participación en beneficios)

Estos salarios pueden parecer bajos para estándares occidentales, pero son competitivos en el mercado laboral ruso. Los chats muestran que algunos miembros no sabían inicialmente que trabajaban para un grupo criminal: fueron reclutados a través de anuncios de trabajo legítimos en plataformas rusas como hh.ru, con descripciones vagas como "pentester para empresa de seguridad".

Horarios y cultura

Los chats revelan una cultura laboral sorprendentemente corporativa:

Horarios de oficina: la mayoría de mensajes se concentran en horario laboral ruso (9:00-18:00 MSK)
Vacaciones: discusiones sobre días libres y vacaciones de año nuevo
Evaluaciones de rendimiento: conversaciones donde Mango evalúa el rendimiento de miembros del equipo
Quejas laborales: miembros que se quejan de sobrecarga de trabajo, pagos atrasados o herramientas que no funcionan
Onboarding: proceso de incorporación con acceso gradual a sistemas

Código fuente: análisis técnico

Arquitectura del ransomware

El código fuente filtrado de Conti v3 está escrito en C y revela una arquitectura modular:

Componente	Lenguaje	Función
Locker (cifrador)	C	Motor de cifrado ChaCha20 + RSA-4096
Decryptor	C	Herramienta de descifrado para víctimas que pagan
Scanner	C	Escaneo de red SMB para identificar targets
Spreader	C	Movimiento lateral vía SMB
Builder	Go	Generador de payloads configurables

Cifrado: ChaCha20 + RSA-4096

El análisis del código fuente confirmó:

Cifrado simétrico: ChaCha20 (no AES). Cada archivo tiene su propia clave y nonce
Cifrado asimétrico: RSA-4096 para cifrar las claves ChaCha20
Threading: hasta 32 threads simultáneos para cifrado paralelo
Cifrado parcial: archivos grandes se cifran parcialmente (header + bloques distribuidos)
Exclusiones: lista de extensiones y directorios excluidos hardcodeada

Impacto de la filtración del código

La publicación del código fuente tuvo consecuencias duales:

Para los defensores: permitió crear decryptors más efectivos, entender los patrones de cifrado y desarrollar mejores detecciones. Reglas YARA específicas basadas en strings y patrones del código fuente.

Para otros criminales: el código fue reutilizado por múltiples grupos para crear variantes. Familias como MeowCorp, ScareCrow y otras usaron el locker de Conti como base. Esto democratizó el acceso a un motor de cifrado probado en producción.

Manuales de operación: el playbook del atacante

El manual de pentesting

Los leaks incluyen un documento interno que detalla paso a paso cómo ejecutar un ataque. Es esencialmente un manual de formación para nuevos pentesters de Conti:

Fase 1: Post-explotación inicial

Instalar Cobalt Strike beacon
Ejecutar whoami /all, net user, net group "Domain Admins" /domain
Identificar el antivirus instalado y desactivarlo

Fase 2: Reconocimiento

Ejecutar AdFind para enumerar Active Directory
Usar BloodHound para mapear rutas de escalada
Identificar file servers, Domain Controllers, backup servers
Estimar el revenue de la víctima (para calcular el rescate)

Fase 3: Escalada y movimiento lateral

Mimikatz para dump de credenciales
PsExec y WMI para movimiento lateral
Kerberoasting si no se obtienen credenciales de Domain Admin
Buscar credenciales en archivos de texto, scripts y Group Policy Preferences

Fase 4: Preparación del cifrado

Deshabilitar Windows Defender en todo el dominio via GPO
Eliminar shadow copies
Desactivar servicios de backup
Exfiltrar datos seleccionados (si aplica doble extorsión)
Coordinar hora de despliegue (preferiblemente noche de viernes o festivo)

Fase 5: Despliegue

Distribuir el locker vía GPO, PsExec o scheduled tasks
Verificar que el cifrado se completó
Publicar la víctima en el leak site si aplica

Scripts de negociación

Los leaks también incluyen guías de negociación para el equipo que chatea con las víctimas:

Empezar con el monto calculado basado en el revenue de la víctima (normalmente 1-3% del revenue anual)
Ofrecer un "descuento" del 20-50% si pagan rápido
Si la víctima dice que tiene backups, recordarle los datos exfiltrados
Si la víctima se niega a pagar, publicar una muestra de datos como presión
Tono profesional en todo momento: "Esto es un negocio, no personal"
Ofrecer "soporte técnico" para el proceso de descifrado

Herramientas internas

Toolkit del pentester Conti

Los leaks revelan las herramientas estándar que usaba el equipo:

Herramienta	Uso	Notas
Cobalt Strike 4.x (crackeado)	C2 principal	Malleable C2 profiles personalizados
Mimikatz	Credential dumping	Versión modificada para evadir detección
AdFind	AD enumeration	Binario legítimo de Joeware
BloodHound + SharpHound	Mapeo de AD	Para identificar rutas de escalada
Rclone	Exfiltración	Configurado con Mega.nz
AnyDesk	Acceso remoto alternativo	Binario legítimo, difícil de detectar
Atera Agent	RMM para persistencia	Software legítimo de gestión remota
ngrok	Túneles reversos	Para bypass de firewalls

TrickBot y BazarLoader

Los chats revelan la relación estrecha entre Conti y los operadores de TrickBot/BazarLoader. TrickBot servía como vector de acceso inicial: infectaba víctimas vía spam y luego vendía o cedía el acceso a los pentesters de Conti. La integración era tan profunda que algunos investigadores consideran a Conti y TrickBot como partes de la misma organización (Wizard Spider).

Lecciones para los defensores

Lo que los chats revelan sobre debilidades defensivas

Los mensajes internos de Conti contienen información invaluable sobre qué defensas funcionan y cuáles no:

Defensas que frustraban a Conti:

EDR bien configurado que detecta Cobalt Strike
Segmentación de red que impide movimiento lateral
MFA en todas las cuentas privilegiadas
Backups offline que no pueden destruir remotamente
Equipos de IR que responden rápido (menos de 24 horas)

Defensas que Conti bypasseaba rutinariamente:

Antivirus tradicional basado en firmas
Firewalls perimetrales sin inspección SSL
Contraseñas sin MFA, especialmente en RDP y VPN
Backups en la misma red que los sistemas de producción
Organizaciones sin monitorización 24/7 (ataques en fin de semana)

Indicadores de compromiso derivados

Los leaks proporcionaron IOCs concretos que siguen siendo útiles como referencia:

Hashes de versiones del locker y decryptor
IPs de servidores C2 de Cobalt Strike
Dominios usados para phishing
Wallets Bitcoin de pagos
Configuraciones de Cobalt Strike (Malleable C2 profiles)
Strings específicas del código fuente útiles para reglas YARA

La disolución y los sucesores

Mayo 2022: fin oficial

Tras los leaks, la presión de law enforcement, y la pérdida de confianza de sus afiliados, Conti cesó operaciones en mayo de 2022. La infraestructura fue desmantelada progresivamente.

Los sucesores

Los miembros de Conti no se retiraron. Se reorganizaron en múltiples grupos:

Grupo sucesor	Miembros Conti involucrados	Actividad
Royal (luego BlackSuit)	Equipo core de desarrollo	Activo 2022-presente. Mismo motor de cifrado base
Black Basta	Pentesters senior	Activo 2022-presente. Alto volumen de ataques
BlackByte	Desarrolladores + pentesters	Activo 2021-presente (pre-existente, absorbió miembros)
Karakurt	Equipo de exfiltración	Solo exfiltración, sin cifrado. Extorsión pura
Quantum	Subset del equipo	Menor escala, disuelto
Zeon	Miembros individuales	Variante del locker Conti, menor escala

La fragmentación es una estrategia deliberada: múltiples grupos pequeños son más difíciles de rastrear y desmantelar que una organización grande.

Conti como caso de estudio

Los Conti Leaks transformaron la comprensión del ransomware organizado. Antes de la filtración, la comunidad de seguridad tenía teorías sobre cómo operaban estos grupos. Después, tenía evidencia.

Los leaks confirmaron que el ransomware de primer nivel no es obra de hackers solitarios en sótanos. Es una industria organizada con procesos de RRHH, evaluaciones de rendimiento, horarios de oficina y manuales de operación. Entender esta realidad es fundamental para diseñar defensas efectivas: no te enfrentas a un individuo con habilidades excepcionales, te enfrentas a una organización con recursos, especialización y resiliencia.

Fuentes y referencias

Recorded Future. "Conti Leaks Analysis." The Record, February-March 2022.
Krebs, B. "Conti Ransomware Group Diaries." KrebsOnSecurity, March 2022.
CrowdStrike. "Wizard Spider In-Depth Analysis." CrowdStrike Intelligence, 2022.
Chainalysis. "Conti Ransomware Financial Analysis." Chainalysis, 2022.
CISA. "Conti Ransomware." Alert AA21-265A, updated 2022.
Secureworks. "Gold Ulrick Threat Profile." Secureworks CTU, 2022.
Mandiant. "FIN12/Conti Attribution Analysis." Mandiant Intelligence, 2022.
BleepingComputer. "Conti Ransomware Source Code Leaked." March 2022.
MITRE ATT&CK. "Wizard Spider (G0102)." https://attack.mitre.org/groups/G0102/
Check Point Research. "Leaks of Conti Ransomware Group Paint Picture of a Surprisingly Normal Tech Start-Up." 2022.

Preguntas frecuentes

Libros recomendados

Sandworm (Andy Greenberg)

Amazon (enlace afiliado)

Ransomware: Defending Against Digital Extortion (Allan Liska)