La campaña conocida como VECT 2.0 está obligando a las organizaciones a replantear lo que entienden por "ransomware": lejos de ser solo una herramienta de cifrado y extorsión, por un error de diseño técnico actúa en demasiados casos como un borrador irreversible de datos. Investigaciones de firmas de seguridad y medios especializados han demostrado que las variantes para Windows, Linux y ESXi dividen archivos grandes en fragmentos cifrados con ChaCha20-IETF, pero solo almacenan el nonce correspondiente al último fragmento, descartando los tres nonces necesarios para reconstruir la mayor parte del contenido. El umbral crítico es de 131.072 bytes; todo archivo mayor a ese tamaño queda, en la práctica, irrecuperable incluso si se pide y se paga rescate.
Este fallo técnico convierte a VECT 2.0 en un wiper camuflado de ransomware: no se trata de que los delincuentes se nieguen a devolver las claves, sino de que no disponen de la información necesaria para construir un desencriptador funcional. La consecuencia directa para las víctimas es brutalmente simple: pagar no garantiza recuperación. Las recomendaciones habituales de negociación se vuelven ineficaces; la estrategia debe moverse hacia la contención, la recuperación desde copias fiables y la preservación forense de evidencias.
Por otro lado, VECT 2.0 es también un experimento de industrialización del delito digital. Se lanza como RaaS con programa de afiliados (con una tarifa de entrada que se reporta en Monero), exenciones para solicitantes de ciertas regiones, y acuerdos con foros y grupos de filtración para facilitar el acceso a credenciales robadas y reducir la barrera técnica de ataque. Esa combinación —acceso a datos exfiltrados + panel de control + afiliados— es la receta para escalar incidentes en volumen y rapidez, y aumenta la probabilidad de incidentes dirigidos a cadenas de suministro y redes críticas.
Además de la cuestión criptográfica, las variantes muestran funcionalidades preocupantes que facilitan la propagación y evaden el análisis: persistencia en modo seguro en Windows, plantillas para ejecución remota y movimientos laterales por SSH en ESXi/Linux, y geofencing que evita infectar ciertas jurisdicciones. Curiosamente, la lista de exclusiones incluye países que otras familias de ransomware intentan evitar, lo que ha llevado a los investigadores a especular sobre código reutilizado, generación asistida por IA o simples errores en la lógica geográfica.
¿Qué deberían hacer los responsables de seguridad hoy mismo? Lo primero es asumir que, ante una infección con esta familia, no puede confiarse en el pago para recuperar datos. Es imperativo activar planes de respuesta que prioricen la contención del impacto: aislar sistemas afectados, preservar imágenes forenses de discos y logs, y proceder a una restauración desde copias de seguridad fuera de línea o inmóviles (WORM/immutables) que hayan sido probadas en ejercicios previos. Las copias en la nube deben combinarse con controles de integridad y versiones para evitar que el malware las cifre o corrompa.
En paralelo, los equipos deben revisar controles técnicos que limitan el riesgo de propagación: segmentación de red, mínimo privilegio en cuentas administrativas, deshabilitar servicios innecesarios expuestos (por ejemplo SMB o SSH sin gestión), aplicación generalizada de MFA, y detección temprana con EDR/SIEM que alerte sobre modificaciones masivas de archivos, cambios en la política de arranque o escrituras anómalas en VSS y backups. No menos importante es la rotación y remediación de credenciales comprometidas y la revisión de proveedores y accesos de terceros tras una posible campaña de supply-chain.
Desde la gobernanza, las organizaciones deben documentar decisiones y comunicaciones: notificar a reguladores y afectadas si la normativa lo exige, coordinar con fuerzas de seguridad y compartir indicadores con la comunidad de respuesta (CTI). También es momento de invertir en resiliencia: políticas de backups fuera de línea, pruebas regulares de recuperación, seguros cibernéticos con claridad sobre exclusiones, y evaluaciones de riesgo que contemplen escenarios de borrado masivo irreparable.
Finalmente, la aparición de VECT 2.0 subraya dos riesgos estratégicos: la democratización del cibercrimen mediante RaaS y marketplaces, y la posibilidad de errores técnicos o código generado por IA que conviertan herramientas en armas de destrucción accidental. Las organizaciones deben abordar ambos: reforzar controles técnicos y adoptar una postura proactiva de inteligencia sobre amenazas y seguridad de la cadena de suministro para reducir la superficie de ataque. Para ampliar información técnica y alertas públicas se pueden consultar las investigaciones y comunicados de los laboratorios de seguridad y de prensa especializada, por ejemplo los recursos de Check Point Research y medios como The Hacker News, así como publicaciones de organismos sectoriales como el Data Security Council of India y análisis de inteligencia de mercado Check Point Research, The Hacker News y Data Security Council of India (DSCI).
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...