En las entrañas del negocio del hosting virtual algo aparentemente inocuo —plantillas de máquinas virtuales listas para usar— se ha convertido en una palanca poderosa para los ciberdelincuentes. Investigadores de la firma de seguridad Sophos han detectado que operadores de ransomware y de malware están aprovechando plantillas por defecto de un gestor de virtualización legítimo para desplegar, a gran escala, servidores Windows manipulados que alojan y distribuyen cargas maliciosas.
La clave del abuso es la reutilización matemática de identificadores y nombres de equipo. Las plantillas por defecto que proporciona VMmanager, la solución de virtualización de ISPsystem, generan instancias con nombres y parámetros de sistema idénticos cada vez que se despliegan. Eso permite a actores malintencionados levantar cientos o miles de VMs con señales casi idénticas y dedicarlas a funciones como servidores de mando y control (C2) o repositorios para la entrega de ransomware y troyanos.
El trabajo de Sophos, que puedes consultar en su informe original, muestra además que estos mismos nombres de host aparecen repetidamente en infraestructuras vinculadas a grupos de alto perfil: desde LockBit y BlackCat/ALPHV hasta Conti, Qilin y familias de troyanos como Ursnif. También han identificado su uso en campañas que distribuyen info-stealers como RedLine y Lummar. La repetición de los mismos identificadores en contextos criminales es la pista que llevó a los investigadores a descubrir el patrón de abuso. Más información en el comunicado técnico de Sophos: Sophos: Malicious use of virtual machine infrastructure.
Según Sophos, cuatro nombres concretos de host generados por esas plantillas concentran la práctica mayoría de las VMs accesibles desde Internet gestionadas por ISPsystem, lo que facilita el rastreo de la técnica. Entre esos nombres están WIN-LIVFRVQFMKO, WIN-344VU98D3RU y WIN-J9D866ESIJ2, todos ellos detectados en telemetría relacionada con actividades delictivas. El hallazgo no solo apunta a una mala configuración o diseño: evidencia cómo la combinación de software fácil de usar y proveedores de hosting con poca o nula diligencia crea un entorno atractivo para el crimen.
No todos los proveedores son iguales. Sophos detectó que la mayor parte de las VMs maliciosas se alojan en un pequeño grupo de proveedores con reputación cuestionable o sujetos a sanciones, entre los que mencionan nombres como Stark Industries Solutions Ltd., Zomro B.V., First Server Limited, Partner Hosting LTD y JSC IOT. También aparece un actor llamado MasterRDP, que según los investigadores tiene control sobre infraestructura física y ofrece servicios VPS/RDP sin cumplir con solicitudes legales, usando VMmanager como herramienta de evasión.
¿Por qué funciona este esquema para los atacantes? Porque desplegar una infraestructura maliciosa con VMs clonadas es barato, rápido y de baja barrera de entrada. Además, al “esconder” instancias peligrosas entre miles de VMs legítimas que comparten patrones, las investigaciones y las medidas de mitigación se vuelven más lentas y menos efectivas. La mezcla de escalabilidad, anonimato parcial y falta de un control centralizado convierte a estos entornos en un recurso valioso para quien persigue extorsiones y robo de credenciales.
Desde la perspectiva de la defensa, hay varias lecciones claras. En primer lugar, los desarrolladores de soluciones de administración de virtualización deberían evitar plantillas que generen nombres y valores de sistema estáticos: cada VM necesita un identificador único por defecto. En segundo lugar, los proveedores de infraestructura tienen la responsabilidad de aplicar medidas de vigilancia y de responder a solicitudes legales o de colaboración internacional para cortar actividades ilícitas en sus redes. Los usuarios finales y equipos de seguridad deben instrumentar detección de anomalías, inventarios activos y reglas de telemetría que señalen nombres de host sospechosos, y compartir indicadores relevantes con la comunidad para facilitar bloqueos y acciones coordinadas.
Las autoridades y equipos de respuesta también recomiendan medidas generales de endurecimiento frente a ransomware y malware que son útiles aquí: crear copias de seguridad fuera de línea, aplicar parches con regularidad, restringir accesos RDP no gestionados, y monitorizar comportamientos anómalos en la red. Para documentación institucional sobre cómo prepararse ante el ransomware, el departamento estadounidense de ciberseguridad ofrece guías prácticas: CISA — Ransomware Guidance.
ISPsystem es una empresa legítima que desarrolla paneles de control y herramientas para proveedores de hosting; su producto VMmanager está pensado para facilitar la creación y administración de VMs Windows y Linux. La facilidad de uso del producto es precisamente lo que lo hace atractivo tanto para clientes legítimos como para actores maliciosos cuando cae en manos de proveedores poco escrupulosos. Más información sobre la compañía y su producto en su web corporativa: ISPsystem — VMmanager.
Medios especializados como BleepingComputer han informado sobre estos hallazgos y han intentado contactar a ISPsystem para conocer su postura y planes de corrección, sin recibir una respuesta pública al momento de la publicación. Puedes ver la cobertura general en sitios de tecnología y seguridad que recogen la investigación y sus implicaciones: BleepingComputer.
La historia subraya un patrón recurrente en ciberseguridad: las herramientas diseñadas para simplificar operaciones legítimas pueden convertirse en vectores de abuso si no incorporan protecciones básicas y si su ecosistema de proveedores carece de controles. La solución exige responsabilidad técnica por parte del fabricante, diligencia por parte de los proveedores de hosting y vigilancia por parte de los equipos de seguridad. Mientras tanto, la comunidad debe mantenerse alerta y usar la información disponible —como los nombres de host detectados por Sophos— para identificar y desactivar rápidamente infraestructura maliciosa que aproveche estas plantillas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...