En un panorama donde nuevas amenazas aparecen y desaparecen rápidamente, hay un nombre que está rompiendo ese patrón. Según un reciente informe de Check Point, el grupo The Gentlemen se ha convertido en uno de los actores más activos y preocupantes del mundo del ransomware actual.

No es solo su volumen de ataques lo que llama la atención. Es la velocidad, la escala y el modelo de negocio lo que parece estar cambiando las reglas del juego.

Un crecimiento potenciado por el negocio

Desde su aparición a mediados de 2025, The Gentlemen ha acumulado:

• Más de 320 víctimas confirmadas

• 240 ataques solo en 2026

• Posición como el segundo grupo de ransomware más activo del año

Y esto es solo el principio. Los investigadores lograron acceder a un servidor controlado por atacantes y detectaron una botnet con más de 1.570 posibles víctimas corporativas, lo que sugiere un alcance real mucho mayor de lo que el propio grupo reconoce públicamente.

Lejos de innovar en técnicas, The Gentlemen está creciendo por algo más simple y efectivo: incentivos económicos.

Opera bajo el modelo de ransomware-as-a-service (RaaS), donde los desarrolladores crean la infraestructura, los afiliados ejecutan los ataques y ambos comparten las ganancias.

Pero en ese punto es donde marcan la diferencia. Ofrecen un 90% del rescate a los afiliados, mientras el estándar del mercado suele ser 80%. Aunque no parezca la gran cosa, ese 10% extra está logrando atraer operadores experimentados de otros grupos, junto con su conocimiento y acceso previo a redes corporativas.

El resultado es un crecimiento acelerado sin necesidad de innovación técnica disruptiva.

A quién están atacando (y a quién no perdonan)

A diferencia de otros grupos, The Gentlemen no parece elegir objetivos con demasiadas restricciones éticas o estratégicas. Sus ataques son descritos como “oportunistas” y se enfocan en infraestructura expuesta a internet como VPNs, firewalls y portales de acceso remoto

Los sectores más afectados son:

• Manufactura

• Tecnología

• Salud (en crecimiento)

Este último es especialmente relevante, ya que no muestran señales de evitar hospitales o servicios críticos, algo que otros grupos han hecho informalmente.

En cuanto a la distribución geográfica:

• Estados Unidos lidera en cantidad de víctimas

• Reino Unido y Alemania también presentan alta actividad

• España y Latinoamérica presentan actividad más leve, pero con presencia en Argentina, Chile, Brasil, México y Colombia.

Ataques rápidos y precisos, sin técnicas revolucionarias

Uno de los hallazgos más contundentes del informe es la forma en que operan una vez dentro de una red. En un incidente analizado:

• El atacante ya contaba con acceso administrativo a nivel de dominio

• Validó credenciales en todo el entorno

• Se movió lateralmente a múltiples sistemas

• Desactivó herramientas de seguridad

• Ejecutó el ransomware en toda la red mediante Group Policy

Todo esto ocurrió en cuestión de horas. La conclusión de los investigadores es que no están improvisando, están ejecutando procesos afinados y repetibles.

El acceso al servidor de comando y control reveló algo crítico, las más de 1.570 organizaciones detectadas ya estaban comprometidas. Sus sistemas incluían equipos corporativos, credenciales empresariales y entornos listos para exfiltración de datos.

Esto indica que, en muchos casos, el ataque no empieza cuando se detecta el ransomware, sino mucho antes.

A pesar de su impacto, The Gentlemen no utiliza técnicas particularmente nuevas. No depende de vulnerabilidades desconocidas ni recurre a métodos “exóticos”. Su puerta de entrada sigue siendo la misma de siempre: sistemas expuestos, mal configurados o sin parches.

Conclusiones y lecciones para las organizaciones

El informe deja claro que las defensas más básicas siguen siendo las más críticas. Entre las prioridades, deben estar:

• Actualizar y proteger infraestructura expuesta a Internet

• Asumir compromiso de credenciales y reforzar accesos privilegiados

• Validar sistemas de backup (y que estén aislados)

• Detectar movimiento lateral, no solo intrusiones iniciales

• Segmentar redes para limitar el alcance de un ataque

El ascenso de The Gentlemen muestra que las barreras para crear operaciones de ransomware efectivas han bajado y que un buen modelo económico puede ser tan peligroso como una innovación técnica. El talento criminal, al igual que el no criminal, se mueve hacia donde hay mejores incentivos.

Las amenazas más efectivas no siempre son las más sofisticadas, sino las mejor ejecutadas.