Durante los últimos meses, el nombre de Dead Presidents apareció repetidamente asociado a supuestos ataques contra organismos públicos, partidos políticos, instituciones educativas y empresas uruguayas. El grupo —antes conocido como ExPresidents— incluso llegó a presentarse recientemente como una operación de ransomware propia, adjudicándose el ataque contra la Junta Departamental de Florida.

Sin embargo, detrás de la sucesión de anuncios, publicaciones y mensajes de amenaza, empieza a surgir una pregunta incómoda dentro de algunos sectores de la comunidad técnica:

¿Estamos realmente frente a un grupo de ransomware operativo o frente a una construcción mediática cuya capacidad real nunca fue demostrada públicamente?

El problema de los ataques que casi nadie puede verificar

Uno de los aspectos más llamativos alrededor de Dead Presidents es que gran parte de las afirmaciones sobre sus compromisos exitosos se apoyan en declaraciones del propio grupo.

En varios de los incidentes reportados, los atacantes afirmaron haber accedido a bases de datos, información sensible, recibos de sueldo, sistemas internos o grandes volúmenes de documentación. Sin embargo, en numerosos casos no existieron pruebas técnicas públicas suficientes para validar el alcance real de esos accesos.

Esto no significa necesariamente que los incidentes sean falsos.

Pero sí plantea un problema frecuente en el ecosistema actual del cibercrimen: la diferencia entre comprometer efectivamente una infraestructura crítica y lograr instalar una narrativa de compromiso exitoso.

En la era de Telegram, X, foros clandestinos y medios digitales, el impacto reputacional muchas veces ocurre antes de que exista una validación técnica independiente.

Del hackeo al espectáculo

Los grupos de ransomware modernos entendieron algo fundamental: el negocio ya no depende únicamente de cifrar servidores.

Depende también de generar miedo.

Por eso los sitios de filtraciones, las amenazas públicas, los comunicados redactados como manifiestos y las publicaciones en redes sociales se volvieron parte central de la operación.

Dead Presidents parece haber adoptado precisamente esa lógica.

Sus mensajes suelen incorporar amenazas de publicación de datos, referencias a sitios onion, anuncios de futuras filtraciones y comunicados diseñados para generar repercusión pública.

Desde el punto de vista comunicacional, la estrategia es efectiva.

Desde el punto de vista técnico, deja una pregunta abierta:

¿cuánto de la operación está sustentado en capacidades reales y cuánto depende de la amplificación mediática?

El salto al ransomware propio

La narrativa más reciente del grupo fue todavía más ambiciosa.

Tras el incidente de Florida, Dead Presidents afirmó haber desarrollado su propio ransomware y presentó el ataque como el inicio de una nueva etapa operativa.

Sin embargo, hasta el momento no existen análisis técnicos públicos ampliamente difundidos que permitan verificar de forma independiente las capacidades reales de esa supuesta plataforma de ransomware.

En el ecosistema criminal es común que actores exageren capacidades, reclamen ataques ajenos o inflen resultados para ganar reputación dentro de foros clandestinos.

La reputación es poder.

Y en muchos casos, ese poder vale tanto como una vulnerabilidad.

Cuando la atribución se vuelve un problema

Otro aspecto que vuelve difícil analizar a Dead Presidents es la escasez de información verificable.

No se conoce públicamente quiénes son sus integrantes, cuál es su estructura operativa real, qué infraestructura controlan o cuál es el volumen comprobable de sus compromisos exitosos.

La mayoría de las referencias disponibles provienen de comunicados, publicaciones del propio grupo o reportes construidos a partir de esas declaraciones.

Esto genera una situación peculiar:

El grupo aparece constantemente en titulares, pero existe relativamente poca evidencia técnica pública que permita dimensionar objetivamente su capacidad real.

El riesgo de confundir ruido con amenaza

Incluso si parte de las operaciones atribuidas a Dead Presidents terminaran siendo menos sofisticadas de lo que aparentan, eso no significa que deban ignorarse.

La historia de la ciberseguridad está llena de actores que comenzaron como simples operaciones de desfiguración de sitios web o campañas oportunistas antes de evolucionar hacia amenazas mucho más serias.

Pero también existe el riesgo inverso.

Cuando gobiernos, empresas y medios reaccionan únicamente a la narrativa generada por los propios atacantes, pueden terminar amplificando artificialmente su influencia.

En otras palabras:

Un grupo puede volverse peligroso no solamente por lo que hackea, sino también por lo que logra que todos crean que hackeó.

Más allá de Dead Presidents

El caso deja una enseñanza relevante para Uruguay y para toda América Latina.

En un escenario donde la atención pública se convirtió en un recurso estratégico, la validación técnica independiente pasa a ser tan importante como la respuesta al incidente mismo.

Porque una captura de pantalla, un mensaje en un sitio comprometido o una amenaza publicada en la dark web ya no son necesariamente evidencia suficiente de una intrusión masiva.

Y en un ecosistema donde la reputación puede construirse tan rápido como una campaña viral, distinguir entre un ataque real y una operación de influencia digital empieza a convertirse en un desafío de ciberseguridad tan importante como detectar malware o bloquear vulnerabilidades.