Los grupos ransomware que dominan 2026 (LockBit, BlackCat/ALPHV, Cl0p y los recién llegados como RansomHub o Akira) operan como franquicias criminales con afiliados, soporte técnico y portales de filtración estilo SaaS. Conocer a estos actores ransomware ya no es un capricho de analistas: es saber quién puede dejar tu negocio cifrado mañana por la mañana. Las bandas ransomware han profesionalizado el secuestro digital hasta el punto de tener departamento de prensa y negociadores en plantilla. LockBit cobra rescates millonarios, BlackCat firma código en Rust para evadir antivirus y Cl0p prefiere explotar fallos zero-day en software de transferencia de archivos. Cada grupo tiene su firma, su modus operandi y su lista de víctimas favoritas. Vamos al grano.
Qué es un grupo de ransomware y por qué operan como empresas
Un grupo de ransomware es una organización criminal que desarrolla, mantiene y comercializa malware de cifrado bajo el modelo Ransomware-as-a-Service (RaaS). El núcleo desarrolla el código, los afiliados ejecutan los ataques y reparten beneficios (típicamente 70-30 a favor del afiliado).
Esta estructura explica por qué desmantelar uno no acaba con el problema. Cuando el FBI tumbó la infraestructura de LockBit en febrero de 2024 (Operación Cronos), los afiliados migraron a otros programas en cuestión de semanas. La franquicia muere, los franquiciados sobreviven.
El negocio incluye:
- Portales de filtración en la red Tor donde publican datos robados si la víctima no paga
- Negociadores que atienden por chat en horario de oficina (literal)
- Programas de bug bounty internos para mejorar su propio malware
- Acuerdos con brokers de acceso inicial (IABs) que venden credenciales VPN o RDP comprometidas
LockBit: la franquicia más prolífica del ecosistema
LockBit lleva activo desde 2019 y ha pasado por las versiones LockBit 2.0, 3.0 (Black) y Green. Tras el golpe de la Operación Cronos coordinada por la NCA británica y el FBI, el grupo intentó relanzarse, pero su reputación entre afiliados quedó tocada. Aun así, sigue siendo referencia obligada al hablar de ransomware actores.
Características técnicas:
- Cifrado híbrido AES + RSA con velocidades de cifrado entre las más rápidas del mercado criminal
- Uso intensivo de técnicas living-off-the-land: PowerShell, PsExec, Cobalt Strike
- Doble extorsión sistemática: cifran y filtran
- Triple extorsión ocasional: añaden ataques DDoS a la víctima si se resiste
Sus objetivos preferidos son empresas medianas con facturación entre 10 y 500 millones, justo en el rango donde el seguro cibernético todavía cubre rescates pero la víctima no tiene un equipo CISO maduro. Si tu organización está pensando en blindarse, conviene entender cómo funciona un centro de operaciones de seguridad antes de que LockBit te obligue a montarlo a contrarreloj.
BlackCat/ALPHV: el ransomware escrito en Rust
BlackCat (también conocido como ALPHV o Noberus) apareció en noviembre de 2021 y se convirtió en el primer ransomware relevante escrito en Rust, un lenguaje que dificulta el análisis y permite compilación cruzada para Windows, Linux y VMware ESXi.
El grupo ganó notoriedad en 2022 atacando a infraestructuras críticas similares a Colonial Pipeline y empresas de salud. En diciembre de 2023 sufrió un golpe del FBI que tumbó parte de su infraestructura, pero respondió levantando un nuevo portal y autorizando ataques contra hospitales (línea roja que muchos grupos respetan por puro pragmatismo: atraen demasiada atención).
En marzo de 2024, BlackCat protagonizó un exit scam tras cobrar 22 millones de dólares de Change Healthcare: se quedaron el dinero, dejaron al afiliado sin parte y cerraron el chiringuito. Sus restos forman parte de RansomHub y otras franquicias actuales.
Distintivos técnicos:
- Código modular configurable por afiliado vía JSON
- Capacidad de cifrar máquinas virtuales VMware ESXi sin necesidad de credenciales de administrador en algunos escenarios
- Buscador de víctimas público en la dark web (raro entre bandas ransomware)
Cl0p: especialistas en zero-days de transferencia de archivos
Cl0p (a veces escrito Clop) opera desde 2019 y ha mutado de ransomware tradicional a especialistas en explotación de vulnerabilidades en software de transferencia gestionada de archivos (MFT). Su firma reciente es no cifrar nada y limitarse a robar datos.
Campañas notables:
- Accellion FTA (2020-2021): explotación de varias CVEs encadenadas
- GoAnywhere MFT (CVE-2023-0669): cientos de víctimas corporativas
- MOVEit Transfer (CVE-2023-34362): probablemente la mayor campaña de exfiltración masiva de la historia, con más de 2.700 organizaciones afectadas según Emsisoft
- Cleo LexiCom/Harmony (CVE-2024-50623): campaña de finales de 2024
Cl0p demuestra una capacidad ofensiva inusual: identifican un producto enterprise concreto, compran o desarrollan un zero-day, lo guardan durante meses y lo despliegan en una ventana de pocos días contra miles de objetivos antes de que se publique el parche. Es un nivel de operación más cercano a un APT estatal que a una banda criminal clásica.
Otros actores relevantes en 2026
El ecosistema no se reduce a los tres grandes. Estos son los nombres que aparecen recurrentemente en los informes de CISA, ENISA y firmas como Mandiant o Recorded Future:
| Grupo | Origen estimado | Especialidad |
|---|---|---|
| RansomHub | Heredero de BlackCat | RaaS multiplataforma agresivo |
| Akira | Activo desde 2023 | VPN sin MFA, sector industrial |
| Play | Vinculado a Hive | Vulnerabilidades en FortiOS |
| Medusa | Activo desde 2021 | Filtración con cuenta atrás pública |
| Qilin | RaaS en ruso | Sanidad y educación |
| BlackBasta | Posible spin-off de Conti | Phishing dirigido + Cobalt Strike |
La mayoría comparte infraestructura, técnicas y a veces afiliados. Cuando un grupo cae, los operadores experimentados se reciclan. Por eso los indicadores de compromiso (IoCs) son útiles a corto plazo, pero el patrón estratégico se mantiene: explotación inicial, movimiento lateral, exfiltración, cifrado, extorsión.
Cómo entran: vectores de ataque más usados en 2026
Los grupos ransomware raramente innovan en el acceso inicial. Reciclan lo que funciona:
- Credenciales VPN sin MFA compradas a brokers de acceso inicial
- RDP expuesto con contraseñas débiles o reutilizadas
- Phishing dirigido con adjuntos maliciosos: si quieres entender qué extensiones de adjuntos son peligrosas, hay una guía específica
- Vulnerabilidades sin parchear en perímetro: Fortinet, Citrix, Ivanti, Cisco ASA, productos MFT
- Drive-by compromise mediante anuncios maliciosos (malvertising) y SEO poisoning
Verifica si tus credenciales corporativas han aparecido en filtraciones públicas en Have I Been Pwned y analiza cualquier binario sospechoso en VirusTotal antes de ejecutarlo. No es una bala de plata, pero filtra mucho ruido.
Qué hacer si te toca: respuesta a incidentes en 24 horas
Si despiertas con la nota de rescate en pantalla, el orden importa más que la velocidad:
- Aislar los sistemas afectados de la red, sin apagar (la memoria RAM contiene evidencia forense)
- Avisar al equipo legal y al DPO. En España, el RGPD obliga a notificar a la AEPD en 72 horas si hay datos personales comprometidos
- Reportar al INCIBE-CERT (sector privado) o al CCN-CERT (sector público). Es obligatorio bajo NIS2 para entidades esenciales e importantes
- No pagar de inmediato: el FBI desaconseja el pago, y la OFAC sanciona pagos a ciertos grupos vinculados a Rusia, Corea del Norte e Irán
- Buscar descifrador en No More Ransom, proyecto de Europol con descifradores gratuitos para muchas variantes
Si te interesa el lado defensivo del proceso, la guía sobre reportar vulnerabilidades de forma responsable complementa este punto.
Preguntas frecuentes
Pagar el rescate garantiza recuperar los datos?
No. Según informes de Coveware y Sophos publicados entre 2023 y 2025, una parte significativa de víctimas que pagan no recupera todos los datos o sufre extorsión secundaria meses después. Pagar también marca a tu organización como objetivo blando para futuros ataques.
Es legal pagar un rescate de ransomware en España?
Pagar no es delito por sí mismo, pero puede serlo si el receptor está sancionado por OFAC o la UE (caso de Evil Corp o entidades vinculadas a regímenes sancionados). Las aseguradoras suelen exigir asesoría legal previa y verificación de la entidad receptora.
Qué diferencia hay entre ransomware y wiper?
El ransomware cifra para extorsionar (en teoría puedes recuperar pagando). Un wiper destruye datos definitivamente, simulando ser ransomware. Casos como NotPetya o HermeticWiper muestran que algunos actores estatales usan disfraz de ransomware para sabotaje puro.
Una copia de seguridad me protege completamente?
Solo si está aislada (regla 3-2-1-1-0: tres copias, dos soportes, una offsite, una offline o inmutable, cero errores tras verificación). Los grupos modernos buscan y cifran backups conectados antes de lanzar el cifrado principal. Si tu copia está en la misma red, asume que también caerá.
Existe ransomware para Mac y Linux?
Sí, aunque menos común. BlackCat, RansomEXX y otros tienen variantes para Linux y ESXi. Para macOS los casos son raros pero existen, como detallamos en el artículo sobre malware en Mac.
El siguiente paso
Abre tu firewall perimetral ahora mismo y comprueba que el acceso RDP (puerto 3389) y los paneles de administración VPN no están expuestos a internet sin MFA. Si lo están, ciérralos antes de seguir leyendo otra cosa. Es el vector inicial del 60-70% de incidentes de ransomware según informes recientes de IBM X-Force y Verizon DBIR, y se arregla en cinco minutos. Cuando lo tengas, explora el resto de artículos del blog de MataSpam para seguir cerrando puertas.
