Buenos Aires, 23 abril (NA) – The Gentlemen (Los Caballeros) se llama una temible operación de ransomware que cobró más de 320 víctimas desde mediados de 2025, con 240 ataques solo en 2026, y a la que, gracias a un acceso excepcional, le acaban de descubrir un servidor de comando y control en vivo, vinculado a una filial de la organización, donde había una botnet (acrónimo de “robot network” o red de robots) de más de 1570 posibles víctimas corporativas.
Se trata de un grupo de dispositivos conectados a internet —ordenadores, servidores, o equipos IoT como cámaras y routers— infectados con malware y controlados remotamente por un atacante, conocido como botmaster. Estos dispositivos actúan como “zombis” que ejecutan órdenes maliciosas al unísono sin que el usuario propietario lo sepa, según averiguaciones de la Agencia Noticias Argentinas.
RaaS (Ransomware as a Service) de The Gentlemen finca su gran penetración en el submundo del ciberdelito en el ofrecimiento que hace a sus afiliados a que participen del 90% en cada rescate pagado, frente al 80% que ofrece la mayoría.
En un ecosistema criminal impulsado por incentivos económicos, esa diferencia del 10% es crucial. Atrae a operadores experimentados de marcas consolidadas hacia el programa de The Gentlemen, aportando sus habilidades, su acceso a redes corporativas y su trayectoria.
Funciona así: los operadores de ransomware desarrollan las herramientas e infraestructura; los afiliados ejecutan los ataques y comparten el dinero del rescate con el operador.
Los ataques se dirigen a organizaciones con infraestructura expuesta y vulnerable a internet (como VPN, puertas de enlace de acceso remoto y portales de administración de firewalls) y las utilizan como puntos de entrada.
Se trataba de organizaciones cuyos sistemas habían sido comprometidos silenciosamente y estaban a la espera de nuevas acciones.
El sanitario es el tercer sector más atacado. Algunos grupos de ransomware.
RAAS (RANSOMWARE AS A SERVICE)
El auge de Gentlemen ilustra un desafío estructural en el panorama del ransomware: la barrera para establecer una operación profesional de RaaS (Ransomware as a Service) se redujo considerablemente.
Un reparto de ingresos atractivo, un servidor seguro y un sitio de filtración son suficientes para atraer afiliados que aportan su propio acceso y experiencia.
La operación no necesita ser técnicamente innovadora para causar daños a gran escala.
Crece porque su modelo de negocio es más atractivo y porque han desarrollado un programa capaz de dar soporte a una amplia y creciente base de afiliados en entornos Windows, Windows y ESXi.
Geográficamente, Estados Unidos concentra el mayor número de víctimas, con una fuerte presencia también del Reino Unido y Alemania.
VELOCIDAD
CPR confirmó este patrón a partir del sitio web público de filtraciones del grupo y de la telemetría independiente obtenida del servidor de un atacante afiliado.
En el incidente al que respondió CPR, el atacante llegó con acceso administrativo a nivel de dominio ya establecido.
A partir de ese momento, la intrusión escaló rápidamente: validación de credenciales en todo el entorno, movimiento lateral a decenas de hosts, desactivación de herramientas de seguridad y, finalmente, un despliegue de ransomware en todo el dominio activado mediante directivas de grupo, que afectó simultáneamente a todas las máquinas conectadas.
La velocidad y la coordinación de este ataque reflejan un grupo que ha perfeccionado su estrategia.
Los afiliados no improvisan; ejecutan un proceso documentado y probado, diseñado para maximizar el impacto antes de que los defensores puedan responder.
Los atacantes no explotan vulnerabilidades de día cero novedosas ni eluden la seguridad mediante métodos exóticos.
DISPOSITIVOS SIN PARCHEAR
Su acceso inicial depende principalmente de dispositivos conectados a internet sin parchear o mal configurados. Estas son las mismas vulnerabilidades que se ha recomendado a los defensores priorizar durante años.
Los ciberataques se extendieron como tendencia global.
En Argentina, las organizaciones registraron un promedio de 2.470 ataques semanales, con un incremento interanual del 2%, lo que muestra una presión sostenida sobre el ecosistema local, en línea con el crecimiento observado en América Latina.
A nivel regional, Latinoamérica registró el mayor volumen de ataques, con un promedio de 3.054 por organización por semana, lo que representa un aumento interanual del 9 %.
La región Asia-Pacífico ocupó el segundo lugar con un promedio de 3026 ataques semanales (-4% interanual), seguida de África con 2722 ataques semanales por organización (-22% interanual).
A continuación, se situaron Europa con 1647 ataques semanales (-7% interanual) y Norteamérica con 1384 ataques semanales por organización (-8% interanual).
#AgenciaNA
