El ransomware parece estar atravesando una fase de búsqueda y transformación, o al menos eso indicarían noticias recientes. Impulsados por defensas más maduras, menores tasas de pago y un entorno cada vez menos tolerante al chantaje, los grupos criminales están reinventando sus modelos operativos. Desde la creación de “carteles” o el retorno al cifrado como herramienta de presión, hasta estrategias de extorsión puramente psicológica, estos cambios pueden tener implicaciones directas para empresas y equipos de seguridad.

El ransomware adopta lógica de cartel

DragonForce, un grupo de ransomware-as-a-service (RaaS) activo desde 2023, está marcando un cambio de paradigma en la economía del ransomware, al adoptar estructuras y prácticas propias del crimen organizado tradicional. Según un análisis reciente de LevelBlue difundido por DarkReading, la banda dejó atrás el modelo clásico de servicio para avanzar hacia una estructura de cartel, donde múltiples grupos pueden operar bajo su propio nombre, pero alineados y coordinados bajo un paraguas común, al estilo de una organización mafiosa según los investigadores.

En este nuevo esquema, los afiliados conservan autonomía operativa, pero acceden a una infraestructura centralizada y altamente profesionalizada, que incluye almacenamiento masivo, monitoreo permanente de servidores, servicios avanzados de análisis de archivos y apoyo en pruebas y ataques de ensayo. Uno de los diferenciales más llamativos es el servicio de “auditoría de datos”, diseñado para ayudar a los atacantes a valorar con precisión la información robada o cifrada, y así definir estrategias de extorsión más efectivas. El enfoque refleja una evolución hacia lo que los investigadores describen como extorsión basada en inteligencia, donde el análisis de datos y la comunicación estratégica son tan importantes como el malware.

DragonForce también ha buscado imponer orden y disciplina dentro del ecosistema criminal, promoviendo la cooperación entre grandes grupos de ransomware para estabilizar el “mercado”, reducir conflictos públicos y maximizar ganancias colectivas. Para los equipos de seguridad, este giro resulta especialmente preocupante, ya que la coordinación entre grupos reduce fricciones internas, permite compartir recursos y acelera la propagación de tácticas, elevando significativamente el nivel de amenaza para empresas y organizaciones a nivel global.

Vuelta al cifrado para recuperar presión

Por otro lado, los grupos de ransomware estarían replanteando su estrategia ante la caída de la efectividad de la extorsión basada únicamente en el robo de datos, según un nuevo informe de Coveware publicado por SecurityWeek. Tras el éxito inicial de campañas sin cifrado, impulsadas por actores como Cl0p, que explotaron vulnerabilidades críticas en plataformas empresariales para exfiltrar información a gran escala, otros grupos replicaron el modelo. Sin embargo, ataques recientes contra clientes de MOVEit, Cleo y Oracle EBS demostraron que esta táctica ya no genera el retorno esperado, con tasas de pago que cayeron a mínimos históricos.

De acuerdo con Coveware, las organizaciones muestran hoy mayor madurez frente a incidentes de filtración, al entender que pagar no elimina consecuencias legales ni garantiza que los datos robados no sean reutilizados o filtrados más adelante. Ante este escenario, los atacantes estarían regresando al cifrado de sistemas como principal herramienta de presión, al ser un mecanismo más efectivo para forzar negociaciones cuando la continuidad operativa está en juego. Aunque la disposición a pagar sigue siendo baja, los montos promedio de rescate aumentaron, impulsados por incidentes puntuales de alto impacto, lo que refuerza la idea de un ransomware más selectivo, más agresivo y enfocado en maximizar cada ataque.

El ransomware psicológico: extorsión basada en ruido y miedo

Según informó el sitio especializado DataBreach, un grupo que se hace llamar 0apt irrumpió recientemente en foros clandestinos con una estrategia tan llamativa como engañosa: publicar de golpe una lista de 190 supuestas víctimas, abarcando desde empresas menores hasta grandes corporaciones globales de sectores críticos como salud, tecnología y defensa. A diferencia del crecimiento gradual que suelen mostrar las nuevas bandas de ransomware, 0apt apostó por impactar con volumen y nombres reconocibles, buscando credibilidad inmediata y atención mediática. Sin embargo, el análisis de sus supuestas filtraciones reveló que no había datos robados, solo descargas interminables de información aleatoria.

Según los investigadores, el grupo utiliza una técnica basada en streams de datos generados con /dev/random, que simulan archivos cifrados de gran tamaño sin contener información real. Para analistas y víctimas, el engaño es efectivo: el tráfico se comporta como una exfiltración legítima, los archivos aparentan pesar cientos de gigabytes y, debido a la lentitud de la red Tor, verificar el contenido puede llevar días o semanas. El objetivo no es técnico, sino psicológico, explotar el temor reputacional y la presión corporativa, apostando a que el solo hecho de aparecer en un “sitio de filtraciones” sea suficiente para forzar un pago, incluso cuando no existe una brecha real. No por casualidad, tras estas revelaciones, 0apt fue eliminado de los principales trackers de ransomware, al considerarse un actor poco confiable y basado más en un bluff que en capacidades reales.