En los últimos meses la ciberamenaza que proviene del Estado norcoreano ha dado un giro que preocupa especialmente: un subgrupo vinculado al conocido colectivo Lazarus ha empezado a emplear el ransomware Medusa contra organizaciones sanitarias en Estados Unidos, en operaciones cuyo objetivo principal es la extorsión económica. Esta noticia no sólo confirma la continuidad de las campañas criminales con sello norcoreano, sino que además muestra cómo estos actores mezclan técnicas sofisticadas con herramientas públicas y servicios de “ransomware como servicio” para maximizar su impacto.
Medusa no es una familia nueva: apareció como operación RaaS a inicios de 2021 y, con el paso del tiempo, ha comprometido a cientos de organizaciones en sectores críticos. Lo relevante ahora es que investigadores de seguridad han identificado solapamientos técnicos y tácticos que apuntan a la participación de un grupo dentro del paraguas de Lazarus —con posibles conexiones a subgrupos conocidos en la comunidad como Andariel o Stonefly— en ataques dirigidos a proveedores de salud en EE. UU. Si quieres leer el informe técnico de los analistas que documentan estas coincidencias, puedes revisar la entrada publicada por Symantec en su blog de empresa: Symantec Enterprise Blogs.
Los investigadores observan que, junto a la utilización de Medusa, los atacantes recurren a una mezcla de utilidades y backdoors: desde ladrones de credenciales para navegadores y herramientas de volcado de credenciales, hasta malware de acceso remoto y proxys a medida. Aunque muchas de esas piezas son “commodity” —es decir, disponibles o reutilizadas por muchos grupos— la combinación y la secuencia de uso ayudan a los analistas a trazar relaciones entre incidentes y atribuir la actividad con mayor confianza.
La repercusión financiera también dibuja un patrón. Las operaciones de Medusa han registrado rescates promedio en torno a los 260.000 dólares, una cifra significativa si se considera la escala y la frecuencia de las intrusiones. Diversas investigaciones y acciones gubernamentales previas han documentado cómo las ganancias derivadas de operaciones cibernéticas ilícitas han sido utilizadas para financiar actividades estatales norcoreanas, lo que convierte estas campañas en algo más que simples delitos económicos: son fuentes de financiación con posibles implicaciones geopolíticas.
Pero más allá del dinero, lo que preocupa a la comunidad de seguridad y a administradores de hospitales es la elección deliberada del blanco. La atención sanitaria es un sector crítico donde la interrupción puede poner en riesgo vidas; sin embargo, los analistas subrayan que estos grupos no muestran escrúpulos a la hora de atacar hospitales u otros servicios sensibles, aun cuando ese tipo de objetivos suele generar un rechazo público intenso. En palabras de los investigadores, la transición a piezas de extorsión como Medusa evidencia que la implicación de actores norcoreanos en el cibercrimen sigue siendo intensa y con escasas barreras éticas.
Si buscas una cobertura periodística accesible sobre este descubrimiento, medios especializados han publicado resúmenes que enlazan al trabajo técnico original y aportan contexto sobre las víctimas y la evolución de Medusa: por ejemplo, puedes consultar la nota publicada en BleepingComputer: BleepingComputer sobre Lazarus y Medusa.
A nivel práctico, los informes de los equipos de respuesta insisten en que las organizaciones revisen indicadores de compromiso (IoC) y procedimientos de detección publicados por proveedores y cuerpos gubernamentales, porque una detección temprana puede evitar la fase de cifrado y la consiguiente pérdida de datos. Agencias como la CISA ofrecen guías generales y recursos sobre cómo prepararse frente a ransomware y responder a incidentes; son buenas referencias para equipos de operaciones y responsables de seguridad: CISA – Ransomware. Además, el FBI mantiene material y recomendaciones sobre la amenaza del ransomware en su sitio: FBI – Ransomware.
Esta nueva fase de activismo criminal estatalizado deja varias lecciones claras para el sector sanitario y para cualquier organización crítica. La primera es que la exposición no depende solo de ser “una empresa tecnológica”: las entidades sanitarias conviven con redes de proveedores, dispositivos médicos conectados y personal que maneja información sensible, lo que amplía la superficie de ataque. La segunda lección es que la mezcla de herramientas comerciales y código disponible públicamente con desarrollos personalizados dificulta la atribución, pero no la hace imposible; la correlación cuidadosa de telemetría es lo que permite a los equipos de inteligencia vincular campañas a actores específicos.
En definitiva, estamos ante un escenario en el que actores respaldados por Estados emplean el modelo de negocio del cibercrimen —ransomware en modalidad RaaS— para obtener recursos, diferenciar su arsenal y mantener presión sobre sectores que antes podían considerarse “intocables” por motivos reputacionales. La recomendación para cualquier responsable de seguridad es no subestimar la amenaza: actualizar inventarios, reforzar controles de acceso, validar copias de seguridad y trabajar con equipos de inteligencia para incorporar IoC y reglas de detección en las defensas. Los informes técnicos como los publicados por equipos de detección y respuesta, y los avisos de agencias nacionales, deben usarse como hoja de ruta operativa para reducir la ventana de exposición y el daño potencial.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...