En los últimos meses hemos visto cómo ciertas bandas de ransomware evolucionan desde tácticas conocidas hacia métodos más sutiles y orientados a la ingeniería social. Uno de los ejemplos más llamativos viene de LeakNet, una operación que apareció a finales de 2024 y que hoy está cambiando su forma de acceder a redes: en lugar de depender tanto de cuentas robadas compradas en el mercado negro, se apoya en trucos que inducen a la víctima a ejecutar comandos por su propia mano.
El mecanismo estrella que ha puesto en práctica LeakNet se conoce como ClickFix. En esencia, los atacantes comprometen sitios legítimos y los usan para mostrar falsos controles —por ejemplo, verificaciones tipo CAPTCHA— que persuaden al usuario a copiar y pegar un comando en el cuadro Ejecutar de Windows. Ese comando suele invocar msiexec.exe para lanzar un instalador aparentemente inocuo, pero que en realidad desencadena una cadena de carga de malware. El atractivo del truco es doble: se explota la confianza en páginas legítimas y se evita gran parte de las señales de red que detectarían tráfico desde infraestructuras maliciosas propias. ReliaQuest documenta este cambio y su análisis es una lectura recomendada para quien quiera profundizar en la técnica (informe de ReliaQuest).
Otra pieza clave del puzzle tecnológico es la inclusión de un cargador (loader) basado en Deno, el moderno runtime para JavaScript y TypeScript. En lugar de dejar ficheros visibles en disco, este loader ejecuta código codificado en Base64 directamente en memoria, contacta con servidores externos para descargar etapas posteriores y entra en un ciclo de sondeo que permite traer nuevas instrucciones sin dejar demasiada evidencia persistente. Para entender Deno y por qué los atacantes lo usan como un "runtime propio", el sitio oficial ofrece documentación y detalles técnicos (deno.land).
Este enfoque encaja con una estrategia más amplia: al prescindir de intermediarios que vendan accesos iniciales, LeakNet reduce costes por víctima y agudiza su capacidad de escala. Además, porque la entrega se realiza desde sitios confiables pero comprometidos, las defensas que se apoyan en la reputación de dominios o en patrones de red tradicionales tienen menos margen para identificar la intrusión a tiempo. WatchGuard y otros rastreadores ya tienen registros sobre LeakNet desde su aparición en noviembre de 2024 (perfil en WatchGuard).
Cuando el actor consigue ejecutar su código, la cadena de post-explotación que describe ReliaQuest tiende a repetirse: el loader inicia una DLL maliciosa mediante técnicas de DLL side-loading, se emplean herramientas legítimas como PsExec para moverse lateralmente por la red, se buscan credenciales y tickets activos con comandos como klist para acelerar el acceso a servicios existentes, y finalmente se filtran datos y se cifran los sistemas. Microsoft ofrece información sobre PsExec y su uso legítimo que puede ayudar a contextualizar por qué esta herramienta es atractiva para los atacantes (documentación de PsExec), y la propia Microsoft documenta el comando klist usado para inspeccionar credenciales (klist en documentación de Microsoft).
El exfiltrado también recibe una atención particular: en vez de usar canales claramente maliciosos, LeakNet ha sido observado utilizando buckets de S3 para almacenar datos robados, aprovechando que el tráfico hacia servicios en la nube suele parecer legítimo y así pasar desapercibido. Las mejores prácticas de registro y monitoreo en Amazon S3 son, por tanto, un factor defensivo importante (guía de Amazon S3).
No todas las intrusiones de las que hablan los centros de inteligencia siguen exactamente el mismo guion de ClickFix: ReliaQuest también registró intentos en los que los atacantes usaron phishing vía Microsoft Teams para engañar a empleados y conseguir que ejecutasen una cadena de cargas que terminaba, de nuevo, en un loader basado en Deno. Esa variedad sugiere dos posibilidades: o LeakNet amplió deliberadamente su repertorio de vectores de entrada, o bien la técnica BYOR —“bring your own runtime”, traer tu propio runtime— está siendo adoptada por otros grupos. Independientemente de la autoría, el resultado empata con observaciones más generales del panorama del ransomware: según Google Threat Intelligence Group, las explotaciones de vulnerabilidades en VPNs y firewalls siguen siendo una causa frecuente de acceso inicial, y el robo de datos en incidentes de ransomware está aumentando (informe de Google).
Para quienes defienden redes, la buena noticia es que este conjunto de tácticas no es completamente indetectable: la operación de LeakNet exhibe una secuencia post-compromiso relativamente constante, lo que abre ventanas concretas para detección y respuesta antes de que ocurra el cifrado masivo. Monitorear procesos inusuales que lancen msiexec.exe desde contextos web, identificar instancias de Deno ejecutándose de forma sospechosa, vigilar movimientos laterales con PsExec y buscar accesos o subidas anómalas a buckets S3 son medidas que pueden marcar la diferencia. Además, la educación del usuario —para que no pegue comandos que le indican páginas web incluso si parecen verificados— sigue siendo una línea de defensa crítica.
En un plano más amplio, el ecosistema del ransomware muestra tensiones contrapuestas: por un lado, la resiliencia de las operaciones y su adaptación continua; por otro, señales de que la rentabilidad agregada del negocio del rescate podría estar disminuyendo, lo que empuja a algunos actores a cambiar de blanco o tácticas para maximizar volumen o eficiencia. Análisis recientes de mercado y respuesta a incidentes debaten estas dinámicas y sus efectos sobre las tendencias de extorsión (análisis de Coveware).
Si hay una conclusión práctica, es que las defensas necesitan adaptarse a la mezcla de ingeniería social sofisticada y herramientas legítimas reutilizadas con fines hostiles. El cambio de LeakNet hacia ClickFix y la ejecución en memoria con Deno es un recordatorio de que la seguridad es tanto técnica como humana: fortalecer configuraciones, aplicar parches en infraestructuras expuestas, segmentar redes, auditar y alertar sobre comportamientos anómalos en runtimes y servicios en la nube, y mantener a las personas informadas sobre tácticas de engaño debe ser una prioridad. Para quienes quieran indagar en más detalles técnicos y en evidencia de ataques, los informes de ReliaQuest y Dragos ofrecen mapas y ejemplos que ayudan a comprender la amenaza en profundidad (análisis de Dragos).
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Mini Shai-Hulud: el ataque que convirtió las dependencias en vectores de intrusión masiva
Resumen del incidente: GitHub investiga un acceso no autorizado a repositorios internos después de que el actor conocido como TeamPCP puso a la venta en un foro delictivo el sup...
Alerta de seguridad: CVE-2026-45829 expone ChromaDB a ejecución remota de código sin autenticación
Un fallo crítico en la API Python de ChromaDB —la popular base de vectores usada para recuperación durante inferencia de LLM— permite a atacantes no autenticados ejecutar código...
Trapdoor: la operación de malvertising que convirtió apps Android en una fábrica automática de ingresos ilícitos
Investigadores de ciberseguridad han descubierto una operación de malvertising y fraude publicitario móvil bautizada como Trapdoor, que convierte instalaciones legítimas de apli...
Alerta de seguridad: vulnerabilidades críticas en SEPPMail podrían permitir leer correos y ejecutar código remoto
Investigadores de seguridad han detectado una cadena de fallos críticos en SEPPMail Secure E-Mail Gateway que, en conjunto, permiten desde la lectura de correos ajenos hasta la ...
Nx Console en jaque: cómo una extensión de productividad se convirtió en un robo de credenciales y una amenaza para la cadena de suministro
Un ataque dirigido a desarrolladores volvió a poner en evidencia la fragilidad de la cadena de suministro del software: la extensión Nx Console para editores como Visual Studio ...