En el cambiante y complejo mundo del cibercrimen, las operaciones de ransomware como servicio (RaaS) juegan un papel fundamental en la expansión de ataques digitales a escala global. Durante años, grupos como LockBit y BlackCat dominaron el escenario, pero su relevancia ha sido desplazada con la irrupción de nuevos actores, uno de los más destacados fue RansomHub, que surgió en febrero de 2024 y rápidamente ganó notoriedad por su innovador enfoque técnico y su modelo amigable hacia los afiliados. Sin embargo, el inesperado apagón de RansomHub el 1 de abril de 2025 generó una oleada de incertidumbre y un reordenamiento en la industria, con movimientos masivos de afiliados hacia otros grupos como Qilin y una declaración de DragonForce sobre su control y formación de un «cartel de ransomware». RansomHub llegó al mercado en un momento donde la sofisticación técnica y la alianza con afiliados experimentados eran piedras angulares para el éxito. Su capacidad para operar de manera multiplataforma, abarcando sistemas operativos como Windows, Linux, FreeBSD y ESXi, así como múltiples arquitecturas, le permitió ofrecer un alcance sin precedentes.
La funcionalidad para atacar tanto sistemas de archivos locales como remotos usando protocolos como SMB y SFTP le confería una versatilidad peligrosa para penetrar en redes empresariales. Además, se destacó por no atacar regiones como la Comunidad de Estados Independientes (CIS), Cuba, Corea del Norte y China, lo que sugiere una estrategia deliberada para evitar represalias legales o conflictos con ciertos estados. El éxito inicial de RansomHub puede atribuirse también a la adquisición de tecnología avanzada, en particular la del código fuente del ransomware Knight, anteriormente conocido como Cyclops, que aportó funcionalidades dinámicas encriptores multifuncionales. Esta innovación técnica se complementó con un modelo agresivo para reclutar y mantener afiliados, ofreciendo condiciones económicas favorables y un panel de administración intuitivo donde los afiliados podían configurar ataques personalizados y gestionar sus operaciones de forma autónoma. No obstante, la aparente estabilidad y promesa de seguridad dentro del ecosistema interno de RansomHub se quebró con la misteriosa desconexión de su infraestructura en línea en abril de 2025.
Las causas de esta interrupción aún son motivo de especulación. Algunas hipótesis sugieren un posible cierre del grupo, problemas internos de gobernanza o incluso una intervención externa, mientras que el impacto inmediato fue un desplazamiento masivo de sus afiliados. Ante este vacío, la plataforma Qilin registró un notable aumento de actividad, reflejado en el crecimiento de publicaciones en su sitio de filtraciones de datos que se duplicaron desde febrero. Qilin ofreció un refugio para muchos de los actores descontentos que buscaban continuar sus campañas de extorsión sin perder acceso a la infraestructura y las herramientas necesarias para operar con eficacia. Simultáneamente, DragonForce expresó públicamente, a través de los foros de RAMP -un conocido canal clandestino para comunicaciones de actores de RaaS-, su control sobre la infraestructura previamente asociada a RansomHub, anunciando la creación de un «cartel de ransomware».
La estrategia de DragonForce representa un movimiento innovador dentro del ámbito de RaaS: a diferencia del esquema tradicional donde los desarrolladores centrales dictan la distribución y ejecución de las operaciones, este nuevo modelo permite que los afiliados creen sus propias marcas y operaciones independientes, utilizando la infraestructura común para soporte administrativo, negociación de rescates y filtración de datos. Esto promueve una descentralización del poder dentro del ecosistema, fomentando la competencia interna y la diversificación de tácticas. La incorporación de otros grupos como BlackLock, que tras un ataque de defacement en su sitio de filtraciones comenzó a colaborar con DragonForce, demuestra la consolidación de alianzas estratégicas en un momento de turbulencia generalizada. De hecho, las tensiones internas en RansomHub y la incertidumbre sobre su futuro llevaron a una situación de «intranquilidad afiliada», con múltiples actores migrando sus lealtades y configurando una red de conexiones y colaboraciones más compleja. Mientras tanto, algunos ex afiliados de RansomHub han optado por caminos alternativos, creando nuevas familias de ransomware como VanHelsing, o migrando hacia otras plataformas y variantes para continuar con sus campañas.
DragonForce, por su parte, ha mostrado una preferencia por diversificar su oferta, al permitirse inicialmente que sus afiliados no utilicen su ransomware per se, sino herramientas auxiliares para desplegar exploits y administrar operaciones de extorsión, lo que podría complicar las labores de detección y respuesta por parte de equipos de ciberseguridad. El panorama general del ransomware en 2025 también se caracteriza por la aparición de grupos novedosos y la adopción de tácticas innovadoras como el «data ransom» impulsado por Anubis, que genera presión mediante la amenaza de publicar artículos investigativos y reportar incidentes ante reguladores, innovando sobre el clásico modelo de cifrado y demanda económica directa. Además, variantes como ELENOR-corp, derivada del ransomware Mimic, han dirigido su foco hacia sectores críticos como el sanitario, empleando técnicas anti-forenses avanzadas y capacidades de robo de credenciales, lo que subraya la creciente sofisticación de las amenazas. Además de estos desarrollos, el ecosistema se ha visto fragmentado en múltiples grupos más pequeños que explotan nuevas vulnerabilidades, reaprovechan técnicas de evasión sofisticadas y muestran una flexibilidad impresionante para mantenerse operativos tras las intervenciones legales y otros desafíos. La multiplicidad de actores como CrazyHunter, Elysium, FOG y Hellcat ha intensificado el volumen y la complejidad de los ataques, diversificando los vectores de acceso y las metodologías de explotación.
Estos cambios no solo afectan a las víctimas potenciales, sino que también implican un reto mayor para las fuerzas de seguridad, las firmas privadas de ciberseguridad y las organizaciones en general. La constante evolución de las tácticas, los cambios en la estructura de mando dentro de las redes criminales y la proliferación de alianzas transversales dificultan la predicción y mitigación de los ataques. Una respuesta efectiva requiere un enfoque integral que combine inteligencia de amenazas, colaboración internacional, innovación tecnológica y concienciación organizacional. Los expertos subrayan que, tras la desaparición de RansomHub y la reconfiguración del ecosistema, estamos ante un periodo de transición que podría determinar la próxima era del ransomware. El modelo descentralizado impulsado por DragonForce y otras iniciativas emergentes muestra que la resiliencia del crimen organizado en el ciberespacio no se limita a repetir viejas fórmulas, sino que va adaptándose para superar obstáculos y cambiar su modus operandi ante las presiones externas.
En última instancia, esta situación invita a reflexionar sobre la importancia de desarrollar e implementar prácticas de defensa robustas y adaptativas, así como la necesidad de cooperación multilateral para enfrentar juntos una amenaza que no conoce fronteras. El futuro del ransomware dependerá de la capacidad conjunta de la comunidad tecnológica, legislativa y empresarial para anticipar movimientos y actuar con determinación, aprendiendo de eventos recientes que han puesto en relieve tanto las fortalezas como las vulnerabilidades del actual ecosistema digital.
