En noviembre de 2025, una gran empresa operadora de franquicias de servicios de alimentación en el sudeste asiático fue golpeada por una nueva familia de ransomware que los expertos han bautizado como Osiris. Aunque comparte nombre con una antigua variante relacionada con Locky, esta versión no guarda relación técnica con aquel malware de 2016: se trata de una amenaza nueva en comportamiento y código, detectada por el equipo de Threat Hunting de Symantec y Carbon Black (Broadcom). Para entender por qué este incidente despierta tanta atención hay que fijarse tanto en la sofisticación del cifrador como en la cadena de herramientas y técnicas previas a la encriptación.
Uno de los elementos más llamativos del ataque fue el uso de un driver malicioso denominado POORTRY. En lugar de reutilizar un controlador legítimo pero vulnerable —la práctica conocida como "bring your own vulnerable driver" (BYOVD)— POORTRY parece haber sido creado ad hoc para elevar privilegios y desactivar soluciones de seguridad. Esta táctica facilita que el atacante desactive procesos defensivos sin depender de drivers legítimos con fallos conocidos; una variación que complica la detección y la respuesta. El informe de Broadcom/Carbon Black también comenta la utilización de una herramienta llamada KillAV y la activación de RDP en el entorno comprometido, medidas que ayudan a afianzar el control remoto y a neutralizar contramedidas.
Antes de que el cifrador entrara en acción los intrusos sustrajeron información sensible usando Rclone y la volcaron en un bucket de almacenamiento en la nube de Wasabi. Ese patrón —exfiltración previa al cifrado— es cada vez más habitual: la amenaza ya no es solo que los datos queden inaccesibles por el cifrado, sino que además puedan filtrarse públicamente como presión adicional para pagar el rescate. En este caso también se identificó el uso de una versión de Mimikatz cuyo ejecutable llevaba el mismo nombre de archivo (kaz.exe) que había sido observado en incidencias vinculadas al INC ransomware, lo que sugiere posibles conexiones entre operadores o reutilización de herramientas.
Desde el punto de vista técnico, Osiris ha sido descrito como un cifrador eficaz y flexible. Emplea un esquema híbrido de cifrado y genera claves distintas para cada fichero, lo que complica la recuperación sin la clave privada correspondiente. Además permite detener servicios concretos, seleccionar carpetas y extensiones a cifrar, forzar el cierre de procesos y dejar una nota de rescate. Por defecto intenta cerrar una larga lista de servicios y procesos relacionados con suites ofimáticas, servidores de correo, navegadores y soluciones de respaldos y copias en volumen —irritando aún más a equipos de recuperación y continuidad—.
La intrusión también mostró uso intenso de herramientas duales y de administración remota: desde escáneres y utilidades para ejecutar comandos remotos hasta agentes de acceso legítimos adaptados o personalizados, como una versión modificada de Rustdesk. Estas utilidades, válidas en manos defensivas, se convierten en herramientas de ataque cuando operadores con privilegios las utilizan para moverse lateralmente, recopilar credenciales y desplegar cargas maliciosas. El patrón observado en este incidente —reconocimiento interno, exfiltración a la nube, empleo de drivers para desactivar seguridad y, finalmente, despliegue del cifrador— encaja con cadenas de ataque modernas bien coordinadas.
El panorama general del año 2025 muestra que el ransomware sigue siendo una amenaza persistente y en evolución. Los datos de fugas publicadas por grupos de extorsión registraron miles de víctimas, con un leve aumento interanual, y actores bien conocidos continúan operando, mutando o asociándose entre sí. Grupos como Akira, LockBit y otros han mostrado tácticas recientes que van desde la explotación de vulnerabilidades y la carga lateral mediante loaders hasta el uso de drivers vulnerables para eludir defensas. Si quiere profundizar en algunas de estas campañas y técnicas, hay análisis públicos detallados de empresas como Palo Alto Unit 42 sobre nuevas familias, o de Coveware sobre fallos en implementaciones criptográficas que convierten ciertos ataques en pérdida definitiva de datos: análisis sobre Sicarii, documentación de 01flip y la descripción de la incidencia con Obscura que generó pérdida irreversible de archivos por un fallo en el proceso de cifrado, según Coveware.
Desde la perspectiva defensiva hay lecciones claras. Limitar el acceso remoto y aplicar autenticación multifactor son medidas básicas pero efectivas, especialmente para servicios como RDP que han sido repetidamente explotados. Es igualmente importante vigilar el uso de herramientas legítimas de administración y forense dentro de la red, y contar con políticas de allowlisting que reduzcan la ejecución no autorizada de binarios. Contar con copias de seguridad off-site e inmutables y practicar planes de recuperación también reduce las opciones del atacante y permite a la organización recuperarse sin ceder ante la extorsión.
Más allá de la respuesta técnica, el caso Osiris recuerda que la extorsión por datos ha evolucionado: el cifrado puede ser solo una parte del esquema coercitivo. La filtración de información, la difusión pública de datos robados y la combinación de amenazas criptográficas y no criptográficas amplían el marco de riesgo para empresas de todos los tamaños. Las recomendaciones habituales —actualizar y parchar sistemas, segmentar redes, auditar permisos y telemetría, y educar a los equipos— siguen siendo las más eficaces para reducir la superficie de ataque.
Para los responsables de seguridad y para cualquier organización con activos críticos, este incidente proporciona un recordatorio sobre la necesidad de mantener una estrategia integral: herramientas de detección y respuesta, controles de acceso estrictos, copias de seguridad probadas y una capacidad de respuesta a incidentes afinada. Las amenazas no solo se reciclan; se reinventan con nuevas piezas como POORTRY y cadenas de exfiltración a servicios en la nube, por lo que la defensa debe adaptarse con la misma rapidez. Si desea revisar los informes y análisis técnicos citados en este artículo, puede consultar el informe compartido por Broadcom/Symantec y los análisis públicos de actores y campañas en fuentes especializadas como Security.com/Broadcom, ReliaQuest y los estudios de Unit 42 y Coveware para profundizar en las tendencias más recientes.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...