Investigadores en seguridad han descubierto una variación preocupante en la operación de ransomware: una familia apodada Reynolds Reynolds que integra directamente dentro de su ejecutable un componente de evasión basado en controladores vulnerables, lo que en la jerga de la industria se conoce como BYOVD (bring your own vulnerable driver). En lugar de desplegar una herramienta separada para desactivar las soluciones de protección, el propio binario del ransomware entrega y carga un driver legítimo pero con fallos conocidos, y se sirve de él para eliminar procesos de seguridad y elevar privilegios.
BYOVD no es una invención nueva, pero su inclusión “todo en uno” en el payload del ransomware eleva el riesgo y complica la detección. La técnica, que explota controladores firmados pero con vulnerabilidades para terminar procesos o anular controles, ha sido documentada en múltiples incidentes previos; por ejemplo, los análisis sobre ataques que implicaron a Ryuk en 2020 y otros incidentes más recientes muestran cómo los actores delictivos han contado con controladores de terceros para desactivar EDRs y antivirus (Fortinet).
En el caso de Reynolds, el componente embebido deja caer un driver de NsecSoft llamado NSecKrnl —un módulo con una vulnerabilidad pública identificada como CVE-2025-68947— y a partir de ahí procede a terminar procesos asociados a productos ampliamente desplegados en empresas: desde Avast y CrowdStrike Falcon hasta Palo Alto Networks Cortex XDR, Sophos y Symantec, entre otros. Investigadores han señalado que actores como “Silver Fox” ya habían aprovechado controladores similares en campañas previas para preparar el terreno a cargas adicionales como el conocido RAT ValleyRAT (Hexastrike, Cybereason).
La incorporación directa del driver vulnerable dentro del ransomware hace que el ataque sea más “silencioso” y reduzca la necesidad de pasos intermedios por parte de un afiliado: no hay un archivo separado que deje huellas adicionales en la red ni un despliegue previo que los defensores puedan detectar. Según las firmas que analizaron la muestra, además del propio BYOVD el ataque mostrado por Reynolds tenía señales típicas de operación organizada: presencia previa de un cargador lateral (side-loaded loader) semanas antes de la activación del ransomware, y la posterior instalación de una herramienta de acceso remoto (GotoHTTP) tras la corrupción de los sistemas, lo que sugiere intención de mantener acceso y de realizar maniobras de post-explotación.
Este patrón forma parte de una tendencia más amplia: en los últimos meses y años los grupos de ransomware han profesionalizado sus cadenas de valor y diversificado técnicas. Algunos actores han desarrollado “servicios” y herramientas propias para apoyar a afiliados, como los informes y scripts de extorsión de DragonForce, mientras que otros han modernizado sus capacidades técnicas —LockBit 5.0, por ejemplo, pasó a usar ChaCha20 y amplió su alcance multiplataforma, además de incorporar técnicas anti-análisis y componentes que actúan como wipers— (LevelBlue, LevelBlue).
En paralelo, los vectores de entrega siguen evolucionando. Campañas masivas de phishing que usan accesos directos (.LNK) para ejecutar PowerShell y descargar droppers han servido para propagar familias como GLOBAL GROUP, que incluso puede operar sin depender de comunicaciones externas y es compatible con entornos air-gapped (Forcepoint). Otros operadores han abusado de infraestructura de virtualización mal configurada para desplegar a escala VMs que actúen como hosts de entrega, aprovechando plantillas con identificadores estáticos para complicar la mitigación por parte de los defensores (Sophos, Seqrite).
Las cifras recientes confirman el embate: la aparición constante de nuevos grupos y la colaboración entre bandas tradicionales han mantenido la presión sobre organizaciones de todo tamaño. Informes de la industria señalan que la actividad de extorsión por robo de datos aumentó y que los pagos promedio de rescate se dispararon en ciertos trimestres, impulsados por unas pocas negociaciones “excepcionales” que distorsionan la media (ReliaQuest, Coveware).
Ante este escenario, las defensas convencionales requieren ajustes. Los controladores son un eslabón crítico: permitir la instalación indiscriminada de drivers de terceros o mantener plantillas de máquina virtual sin revisar abre vectores fáciles de explotar. Mantener una política de allowlisting de drivers, aplicar parches tan pronto como estén disponibles —especialmente para fallos divulgados públicamente como el CVE mencionado— y monitorizar comportamientos anómalos de procesos y cargas de kernel aporta una barrera importante. Las recomendaciones de organismos como CISA y las prácticas de hardening de endpoints y backups siguen siendo fundamentales (CISA).
También es importante que los equipos de seguridad vigilen señales tempranas de compromiso: side-loading de binarios legítimos, despliegues “silenciosos” de drivers, herramientas de acceso remoto instaladas a posteriori y movimientos laterales que preceden a la activación del cifrado. Herramientas de detección que analicen la telemetría del kernel y correlacionen eventos en la red pueden descubrir intrusiones antes de que el actor ponga en marcha el componente destructivo del ataque.
Para las organizaciones, la recomendación práctica es revisar la cadena de confianza de todos los controladores instalados, limitar privilegios para la instalación de drivers, segregar funciones críticas en la red y mantener copias de seguridad inmutables fuera de línea. Prevenir la ejecución de binarios no esperados y auditar plantillas de máquinas virtuales son pasos que hoy pesan tanto como los parches y el reforzamiento de endpoints.
La lección que dejan casos como Reynolds es clara: los atacantes no dependen únicamente de una técnica; buscan combinar componentes hasta que la operación sea robusta y silenciosa. Defenderse exige tanto controles técnicos en profundidad como procesos organizativos que reduzcan la superficie de ataque y aceleren la respuesta. En un panorama donde los métodos se profesionalizan y se empaquetan, la resiliencia se construye antes del incidente, no solo después.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...