En los últimos meses ha vuelto a ponerse de manifiesto una verdad incómoda: el ecosistema del ransomware se ha profesionalizado hasta parecer una industria al servicio del crimen. Un ejemplo reciente y especialmente llamativo es la operación conocida como The Gentlemen, un servicio de ransomware‑como‑servicio (RaaS) que, desde su aparición en julio de 2025, ha escalado con rapidez y sofisticación para operar a gran escala.
Investigadores de seguridad han detectado que actores vinculados a The Gentlemen intentaron desplegar un conocido proxy malicioso llamado SystemBC. La firma Check Point Research halló que el servidor de mando y control (C2) asociado a SystemBC permitió descubrir una botnet que afecta a más de 1.570 redes corporativas. SystemBC no es un simple backdoor: establece túneles SOCKS5 dentro del entorno comprometido y se comunica con su C2 mediante un protocolo propio cifrado con RC4, además de poder descargar y ejecutar cargas útiles que pueden escribirse en disco o inyectarse directamente en memoria. Estos detalles están recogidos en los análisis de firmas y publicaciones de la industria, entre ellas las notas públicas de los fabricantes de seguridad. (Check Point Research)
La versatilidad de The Gentlemen explica en parte su expansión: opera bajo un esquema de doble extorsión y ha mostrado capacidad para afectar entornos Windows, Linux, NAS y sistemas BSD. Su cifrador está desarrollado en Go y el grupo combina herramientas legítimas —como drivers adulterados— con utilidades maliciosas propias para evadir controles. La habitual cadena de intrusión comienza con acceso inicial que, por ahora, no está del todo esclarecido: todo apunta al abuso de servicios expuestos a Internet o credenciales comprometidas. A partir de ahí ejecutan reconocimiento interno, movimiento lateral, staging de cargas como Cobalt Strike o SystemBC, técnicas de evasión y finalmente despliegue del ransomware.
Un rasgo peligrosamente efectivo es la explotación de objetos de directiva de dominio (GPO) para propagar cambios a escala en redes corporativas y conseguir un compromiso masivo en un solo golpe. Además, investigaciones de otros proveedores han documentado cómo los operadores de The Gentlemen adaptan sus herramientas y tácticas a las defensas detectadas en cada víctima, lo que implica una fase de reconocimiento profundo y modificaciones de software para sortear soluciones de seguridad concretas. (Trend Micro)
En el caso observado por Check Point, un afiliado desplegó SystemBC en un host comprometido y el C2 vinculado a ese proxy estaba controlando cientos de víctimas distribuidas por todo el mundo, con incidencias reportadas en Estados Unidos, Reino Unido, Alemania, Australia y Rumania. Aunque SystemBC se conoce en la escena del cibercrimen desde 2020, no está claro hasta qué punto forma parte del guion estándar de The Gentlemen o si fue empleado por un afiliado concreto para tareas de exfiltración y acceso remoto en esta campaña.
El modus operandi durante el movimiento lateral revela un enfoque metódico para neutralizar defensas: los atacantes empujan scripts de PowerShell que intentan desactivar la protección en tiempo real de Windows Defender, agregar exclusiones amplias para discos y procesos, apagar el cortafuegos, reactivar SMBv1 y relajar controles de acceso anónimo del subsistema LSA, todo antes de desplegar el binario del cifrador en la máquina remota. Estas acciones muestran una intención clara de dejar el terreno lo más limpio posible para el cifrado sin interrupciones.
Cuando la víctima es un servidor VMware ESXi, la variante de ransomware se simplifica en funcionalidades, pero incorpora acciones específicas para entornos virtualizados: apaga máquinas virtuales para facilitar el impacto, persiste mediante tareas programadas tipo crontab y ejecuta pasos para impedir la recuperación antes de cifrar. Esta especialización entre variantes de Windows y ESXi es una tendencia que estamos viendo cada vez con más frecuencia en operadores que desean maximizar daño en infraestructuras críticas.
En palabras de uno de los investigadores que accedió a servidores operativos del grupo, la arquitectura comercial de The Gentlemen es parte del éxito: han conseguido atraer afiliados ofreciéndoles condiciones más ventajosas que la competencia, y lo que emergió del análisis interno fue una red de más de 1.570 redes corporativas comprometidas que aún no habían aparecido en los listados públicos de víctimas. Esa cifra sugiere que la magnitud real de la operación supera con creces lo que se conoce en la superficie.
Mientras tanto, otros actores y familias de ransomware continúan evolucionando. La firma Rapid7 ha documentado la aparición de Kyber, una familia relativamente nueva que se hizo pública en septiembre de 2025 y que apunta tanto a Windows como a infraestructuras VMware ESXi. Kyber utiliza cifradores escritos en Rust para la variante Windows y en C++ para la variante que ataca ESXi; esta última incluye capacidades de cifrado de datastores, terminación opcional de máquinas virtuales y hasta la defacement de interfaces de gestión, lo que evidencia una tendencia hacia la especialización por plataforma en lugar de complejidad innecesaria. (Rapid7)
Los datos agregados por varios observadores muestran que la presión de los ataques no remite: según compilaciones de incidentes, en el primer trimestre de 2026 se registraron al menos 2.059 incidentes de ransomware y extorsión digital, con marzo como mes pico y más de 700 eventos. Entre los grupos más activos en ese periodo destacaron Qilin, Akira, The Gentlemen, INC Ransom y Cl0p. Un aspecto llamativo en el caso de The Gentlemen es la variación regional de sus víctimas: en trimestres previos el porcentaje de objetivos en Norteamérica osciló de manera notable, lo que rompe con patrones habituales de otros colectivoss de extorsión digital. (ZeroFox)
Los informes más amplios sobre la evolución del ransomware apuntan a una maduración del fenómeno: se ha convertido en una maquinaria criminal orientada al negocio, con cadenas de suministro compartidas, especialización de roles y rápida regeneración tras las intervenciones policiales. Tendencias como intentos de anular soluciones Endpoint Detection and Response, la reutilización de drivers vulnerables como vector de escalada (Bring Your Own Vulnerable Driver), la difuminación entre campañas estatales y criminales y un mayor foco en pymes y entornos de tecnología operativa han sido descritas por analistas del sector. El sector automotriz, por ejemplo, dobló el número de incidentes en 2025 y concentró una parte significativa de las afectaciones reportadas en ese ámbito. (CISA)
Otro dato preocupante es que los tiempos de permanencia del atacante dentro de las redes (dwell time) se han reducido drásticamente: muchas intrusiones se orquestan y ejecutan durante noches y fines de semana para ganar velocidad y restar capacidad de respuesta al equipo de seguridad. Un porcentaje alto de intentos se realiza en franjas donde la supervisión es más débil, y algunos actores como Akira han demostrado la capacidad de escalar desde la primera intrusión hasta el cifrado completo en cuestión de una hora en ciertos escenarios.
Ante este panorama, la recomendación para equipos de seguridad y responsables de TI es prospectiva y práctica: endurecer la exposición de servicios hacia Internet, aplicar autenticación multifactor y rotación de credenciales, segmentar redes para limitar el alcance del movimiento lateral, monitorizar y restringir cambios en GPOs, mantener copias de seguridad offline y validadas y, fundamentalmente, tener estrategias de respuesta rápida que contemplen detección nocturna y fines de semana. Además, es imprescindible aplicar las guías y recursos publicados por organismos oficiales y proveedores de seguridad para endurecer endpoints y entornos virtualizados. (Microsoft Security)
La realidad es que nos enfrentamos a rivales que operan como negocios: compiten por afiliados, especializan herramientas según el objetivo y optimizan procesos para causar el máximo daño en el menor tiempo. Conocer sus tácticas y aplicar defensas acordes no garantiza inmunidad, pero sí reduce la superficie de ataque y la probabilidad de convertirse en la siguiente víctima difundida en una lista pública de extorsión. Para quienes quieran profundizar en las investigaciones y recomendaciones públicas, los informes de los equipos de respuesta y las publicaciones de los fabricantes siguen siendo una fuente imprescindible de inteligencia. (The Hacker News) ofrece además cobertura continuada que sintetiza hallazgos y actualizaciones en tiempo real.
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...
YellowKey El fallo de BitLocker que podría permitir a un atacante desbloquear tu unidad con solo acceso físico
Microsoft ha publicado una mitigación para una vulnerabilidad de omisión de seguridad de BitLocker conocida como YellowKey (CVE-2026-45585), después de que su prueba de concepto...