Archivo - Computer monitor showing hacked system alert message flashing on screen, dealing with hacking and cyber crime attack. Display with security breach warning and malware threat. Close up. - FREEPIK - Archivo
MADRID, 21 Abr. (Portaltic/EP) -
Expertos en ciberseguridad han alertado sobre un aumento exponencial en el uso del 'ransomware' conocido como The Gentlemen, que se ha posicionado como el segundo grupo más activo de este tipo de 'software' malicioso en lo que va de año, dada su efectividad para vulnerar dispositivos orientados a internet y cifrar redes, así como por comercializarse como un 'Ransomware-as-a-Service' (RaaS).
Este 'ransomware' fue identificado por primera vez a mediados del año 2015 y, desde entonces, ha ido creciendo hasta superar las 320 víctimas expuestas en su sitio de filtración de datos. Sin embargo, durante este año 2026 su actividad se ha disparado aún más, con 240 ataques registrados solo en los primeros meses del año.
Así lo ha compartido la división de Inteligencia de Amenazas de Check Point Software Technologies que ha identificado esta "actividad frenética" situando a The Gentlemen como el segundo grupo de 'ransomware' más activo por recuento de víctimas este año, como ha explicado en un comunicado.
Según sus investigaciones, parte del éxito de este 'ransomware' se debe al modelo de negocio con el que se ofrece dentro del ecosistema del cibercrimen. Concretamente, The Gentlemen se oferta como un RaaS o 'Ransomware' como Servicio, esto es, una especie de suscripción que permite a cibercriminales pagar por utilizar el 'ransomware' para lanzar ataques, incluso sin conocimientos técnicos avanzados.
En este sentido, el grupo ofrece a sus afiliados un reparto de ingresos del 90/10 por utilizar The Gentlemen, en lugar del reparto estándar del 80/20, que suele ser el habitual en este tipo de operaciones.
Es decir, del total de lo recaudado con el ciberataque, una parte se la lleva el grupo The Gentlemen y otra el cibercriminal que haya adquirido sus servicios.
Según han explicado los expertos en ciberseguridad, esta diferencia del 10 por ciento, con respecto a otros grupos de 'ransomware' "está atrayendo a operadores experimentados de programas competidores, quienes aportan sus propias habilidades y accesos a redes corporativas".
MILES DE POSIBLES VÍCTIMAS Y ALTA VELOCIDAD DE EJECUCIÓN
Asimismo, desde Check Point han podido acceder a un servidor de comando y control (C&C) activo vinculado a un afiliado de The Gentlemen, con lo que han podido comprobar la magnitud real de esta amenaza.
Gracias a este acceso, han podido comprobar cómo está escalando posiciones y amenazando el ecosistema de la ciberseguridad, dado que el grupo cuenta una 'botnet' con más de 1.570 víctimas corporativas probables, superando de lejos los datos que el grupo ha hecho públicos en su sitio de filtración, mencionados anteriormente.
Además, destaca la velocidad de ejecución de este 'ransomware'. Esto se debe a que los ciberdelincuentes se especializan en vulnerar dispositivos orientados a internet, como son las VPN o los 'firewalls', logrando cifrar redes completas "en cuestión de horas".
Como han especificado, en incidentes reales se llegó a desplegar el 'ransomware' a escala de dominio mediante políticas de grupo (GPO) de forma "casi simultánea".
Otro factor que han identificado como característico de este grupo es que no cuenta con "límites éticos", dado que a diferencia de otros grupos, que evitan infraestructuras críticas en sus ataques, The Gentlemen sitúa al sector de la salud como "su tercer objetivo más frecuente", por detrás de la manufactura y la tecnología.
Los investigadores también han podido observar su alcance global, con Estados Unidos liderando la lista de víctimas, seguido de cerca por Alemania y el Reino Unido. Con todo, han subrayado como este aumento en el uso de The Gentlemen evidencia que la barrera de entrada para operar un programa profesional de RaaS se ha reducido "de forma drástica".
Como resultado, se facilita que nuevos actores maliciosos escalen rápidamente "sin necesidad de innovaciones técnicas disruptivas" ni conocimientos. En este marco, desde Check Point Research han recomendado a las organizaciones reforzar sus medidas básicas de ciberseguridad "como primera línea de defensa".
Entre estas medidas, han destacado la necesidad de mantener actualizados y parcheados todos los dispositivos que tengan expuestos a Internet, especialmente sus soluciones de acceso remoto, así como implantar la autenticación multifactor como requisito.
Por otra parte, han recomendado segmentar las redes de las organizaciones para reducir el impacto ante posibles intrusiones, además de asegurar la disponibilidad de copias de seguridad "aisladas y verificadas" y contar con soluciones específicas para detectar y mitigar este tipo de amenazas dentro de entornos corporativos.