Un error en VECT 2.0 convierte el supuesto ransomware en un borrador irreversible: investigadores de Check Point han descubierto que la versión 2.0 de VECT falla al manejar los nonces durante la encriptación por bloques, lo que provoca que grandes ficheros queden permanentemente inservibles en lugar de simplemente cifrados. Esta falla no es un detalle menor de implementación: afecta al mecanismo criptográfico básico que garantiza que cada bloque cifrado pueda ser recuperado de forma independiente.
En términos técnicos, VECT intenta acelerar la encriptación de archivos grandes dividiéndolos en partes (chunks) y generando un nonce por cada chunk. Sin embargo, todos los nonces se generan en el mismo búfer de memoria y se sobrescriben en cada iteración; al finalizar la operación solo queda escrito en disco el último nonce. El efecto es que, en la práctica, solo la última porción del archivo (aproximadamente el 25% según los análisis) conserva el nonce necesario para descifrarla. El resto queda irreversiblemente mutilado porque los nonces anteriores nunca son enviados al operador ni preservados en el disco.
Las implicaciones para entornos empresariales son severas. Check Point subraya que el umbral que VECT considera "archivo grande" es de apenas 128 KB, mucho menor que lo habitual en discos virtuales, backups, bases de datos y muchos documentos empresariales; eso hace que la conducta de "borrado accidental" afecte a la mayoría de los activos críticos. Además, la misma lógica defectuosa está presente en las variantes para Windows, Linux y ESXi, de modo que servidores y sistemas de virtualización quedan igualmente expuestos. Más detalles técnicos están disponibles en el informe de Check Point: Check Point Research sobre VECT 2.0.
El contexto operativo aumenta la gravedad del problema: VECT ha sido promocionado en foros clandestinos tipo BreachForums con un modelo de afiliados y, según reportes, los operadores anunciaron una asociación con el grupo TeamPCP, implicado en recientes compromisos de cadenas de suministro que afectaron proyectos como Trivy o LiteLLM y servicios como Telnyx. Esa colaboración sugiere que VECT pudo haber sido diseñado para desplegarse tras compromisos de proveedores o software, un vector que multiplica el daño potencial y complica la respuesta.
Es importante entender por qué pagar el rescate puede no servir: como los nonces perdidos no son remitidos al atacante, incluso si una víctima satisficiera las demandas no habría claves suficientes para reconstruir los bloques anteriores al último. En la práctica, esto transforma un ataque de ransomware (donde existe la esperanza de recuperación tras pago) en un acto de destrucción de datos irreversible para la mayoría de los archivos afectados.
Para organizaciones y responsables de seguridad, la prioridad inmediata es contener y preservar: aislar máquinas afectadas, detener la propagación, tomar imágenes forenses de discos y memoria y conectarse con un equipo de respuesta a incidentes especializado. Aunque los nonces pueden haberse sobrescrito en memoria, capturar una imagen RAM lo antes posible sigue siendo una acción de valor para la investigación forense y para determinar la secuencia del ataque y el punto de entrada.
La mejor defensa sigue siendo la prevención y la resiliencia de datos. Esto incluye mantener copias de seguridad robustas, con controles de integridad y pruebas periódicas de restauración; emplear versiones inmutables o air-gapped de backups cuando sea posible; segmentar redes y privilegiar el principio de menor privilegio para reducir el alcance de movimientos laterales; y desplegar detección en endpoints y telemetría de red para identificar actividad sospechosa temprana.
Además, es crítico reforzar controles de seguridad en la cadena de suministro: auditar y monitorizar dependencias, asegurar pipelines de CI/CD, firmar y verificar artefactos, y exigir prácticas de seguridad a proveedores. La literatura criptográfica también recuerda la importancia de manejar nonces y vectores de inicialización con rigor; para una referencia técnica sobre el uso correcto de modos AEAD (como GCM) y la gestión de nonces, puede consultarse la guía técnica de NIST: NIST SP 800-38D.
Desde la perspectiva de respuesta público-privada, las organizaciones afectadas deberían notificar a las autoridades y reguladores según sus obligaciones legales y de privacidad, y comunicar con transparencia a clientes y socios el alcance del impacto. Dado que VECT está siendo distribuido mediante afiliados y foros, compartir indicadores de compromiso con la comunidad y con centros de coordinación sectoriales puede ayudar a detectar nuevos despliegues y a mitigar el riesgo.
Un mensaje para CISOs y equipos técnicos: revise urgentemente las copias de seguridad y políticas de retención, active pruebas de restauración sobre distintos escenarios, ponga en cuarentena sistemas sospechosos y prepare planes de continuidad que consideren la posibilidad de pérdida parcial o total de activos críticos. Si su organización depende de proveedores de software o servicios subcontratados, priorice la evaluación de esos proveedores y la verificación de integridad de artefactos.
En resumen, el incidente VECT 2.0 es un recordatorio de que los errores de implementación criptográfica pueden convertir un malware cifrador en un destructor de datos y que la combinación de modelos criminales de afiliados y ataques a la cadena de suministro amplifica el riesgo sistémico. La defensa requiere tanto controles técnicos precisos como prácticas operativas y contractuales que reduzcan la probabilidad de intrusión y aumenten la posibilidad real de recuperación si ocurre un compromiso.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...