En el ámbito de la ciberseguridad, el ransomware ha sido durante años una amenaza constante que afecta a organizaciones de todas las industrias y tamaños. Grupos como LockBit y BlackCat dominaron durante un tiempo el mercado negro del delito digital, imponiendo su ley mediante sofisticados ataques que paralizaban infraestructuras críticas y exigían pagos millonarios en criptomonedas. Sin embargo, la dinámica de este ecosistema delictivo ha comenzado a cambiar radicalmente. Con el fortalecimiento de las acciones internacionales contra estas organizaciones, el espacio dejado por estas figuras ha sido rápidamente ocupado por nuevos actores, como el grupo RansomHub, que está asumiendo como herederos de esta oscura tradición y, a la vez, innovando con tácticas y herramientas inéditas para maximizar su impacto y beneficios. La evolución del ransomware en 2024 marcó un punto de inflexión en el mercado global de ataques cibernéticos.
Según expertos en seguridad de ESET, este año evidenció un descenso en la actividad de las dos mayores bandas conocidas, LockBit y BlackCat, motivado principalmente por fuertes intervenciones policiales y la pérdida de infraestructura clave. Además, se reportó una caída del 35% en los pagos de rescates, aunque se registró un incremento del 15% en las víctimas publicadas públicamente. Este fenómeno refleja una transformación en la naturaleza y la visibilidad de los ataques, impulsada en gran parte por el surgimiento de RansomHub como uno de los protagonistas principales del ransomware como servicio (RaaS). RansomHub ha logrado emerger con rapidez como una amenaza dominante gracias a su enfoque innovador en la contratación y formación de afiliados, así como al desarrollo propio de herramientas técnicas que aumentan significativamente su éxito en comprometer sistemas empresariales. Una de las armas más temidas dentro de esta nueva generación de ransomware es el llamado EDRKillShifter, un malware diseñado específicamente para desactivar las soluciones modernas de Endpoint Detection and Response (EDR) que muchas organizaciones implementan para proteger sus redes.
Este tipo de herramientas “asesinas” de EDR aprovechan vulnerabilidades en drivers de los sistemas operativos para inutilizar las defensas de seguridad sin levantar sospechas inmediatas, aumentando las probabilidades de infección masiva y extracción exitosa de datos o cifrado de archivos. A diferencia de la mayoría de los RaaS tradicionales que dependen de terceros para proporcionar tales opciones, RansomHub desarrolla internamente estas tecnologías, que luego ofrece a sus socios para mejorar la efectividad y minimizar la detección. Esto también implica una nueva forma de negocio que desafía los modelos clásicos: los afiliados de RansomHub, por ejemplo, conservan el 100% de los rescates obtenidos, entregando solo un 10% voluntario a los desarrolladores. Esta política de confianza y autonomía resulta atractiva para operadores y hackers independientes, quienes a menudo trabajan con varias bandas rivales simultáneamente, compartiendo tácticas y herramientas. Esta interconexión refleja el fin de la era de aislamiento total entre grupos maliciosos, donde ahora prevalece una dinámica híbrida basada en colaboraciones flexibles y múltiples lealtades.
Por otro lado, la política de objetivos de RansomHub muestra un claro corte geopolítico y ético al prohibir ataques contra determinados países como Rusia, Corea del Norte, China y Cuba. Esta práctica sugiere que más allá del lucro, estos actores mantienen ciertas líneas rojas, probablemente influenciadas por sus orígenes o alianzas políticas implícitas. Esta característica abre un debate crucial sobre la intersección entre el cibercrimen y las cuestiones internacionales, donde diferencias nacionales y restricciones geográficas impactan en la distribución y los ataques realizados en el ciberespacio global. El escenario actual exige a las empresas y organismos gubernamentales actualizar continuamente sus mecanismos de defensa. La efectividad de los EDRs tradicionales se ve amenazada ante herramientas como EDRKillShifter, por lo que es fundamental invertir en soluciones de seguridad que puedan detectar comportamientos sospechosos no solo en archivos o firmas conocidas, sino también en actividades anómalas y manipulaciones a nivel de drivers o kernel del sistema operativo.
Las soluciones que emplean inteligencia artificial, análisis heurístico avanzado y capas de protección múltiples se convierten en aliados indispensables para neutralizar estas amenazas sofisticadas. Además, la educación constante de los empleados, la implementación de políticas estrictas de acceso y autenticación, el uso de sistemas de backups seguros y separados, así como la colaboración activa con agencias internacionales de ciberseguridad, resultan esenciales para mitigar el riesgo y responder ágilmente ante incidentes. La transparencia y la comunicación abierta sobre ataques también deben fomentarse, ya que la subreportación oculta la magnitud real del problema y dificulta la creación de estrategias conjuntas y políticas públicas más robustas. Finalmente, la aparición de RansomHub y otros grupos que han integrado sus tecnologías y tácticas pone en evidencia la necesidad de una cooperación global fortalecida para combatir esta amenaza transnacional. Tanto las fuerzas del orden como los organismos de regulación, junto con la industria de la ciberseguridad, tienen la responsabilidad de compartir información, coordinar operaciones y desarrollar marcos legales adaptados a la rapidez del cambio tecnológico y las prácticas delictivas.
En conclusión, la evolución del ransomware refleja un panorama dinámico y complejo donde los nuevos herederos de LockBit y similares no solo perpetúan la amenaza, sino que la hacen más sofisticada, integrada y difícil de gestionar. Estar al día con estas tendencias y adoptar estrategias proactivas es vital para mantener la seguridad digital y proteger la integridad y continuidad de las operaciones empresariales en un mundo cada vez más interconectado y dependiente de la tecnología.
