– FREEPIK – Archivo
MADRID, 21 Abr. (CIBERPRO) –
Expertos en ciberseguridad han advertido sobre un incremento notable en la actividad del ‘ransomware’ conocido como The Gentlemen, que se ha consolidado como el segundo grupo más activo de este tipo de software malicioso en el presente año, debido a su efectividad para comprometer dispositivos conectados a internet y cifrar redes, además de ofrecerse como un ‘Ransomware-as-a-Service’ (RaaS).
Este ‘ransomware’ fue detectado por primera vez a mediados de 2015 y ha ido en aumento, superando las 320 víctimas expuestas en su plataforma de filtración de datos. Sin embargo, durante este año 2026, su actividad ha crecido aún más, con 240 ataques reportados en los primeros meses del año.
De acuerdo con la división de Inteligencia de Amenazas de Check Point Software Technologies, esta «actividad intensa» ha posicionado a The Gentlemen como el segundo grupo de ‘ransomware’ más activo por número de víctimas en este año, según un comunicado emitido.
Las investigaciones indican que parte del éxito de este ‘ransomware’ se debe a su modelo de negocio dentro del ecosistema del cibercrimen. Específicamente, The Gentlemen se presenta como un RaaS o ‘Ransomware’ como Servicio, lo que permite a los cibercriminales pagar por el uso del ‘ransomware’ para llevar a cabo ataques, incluso sin poseer conocimientos técnicos avanzados.
En este contexto, el grupo ofrece a sus afiliados una distribución de ingresos del 90/10 por utilizar The Gentlemen, superando el reparto estándar del 80/20 que es común en estas operaciones.
Es decir, de lo recaudado con el ciberataque, una parte corresponde al grupo The Gentlemen y la otra al cibercriminal que utiliza sus servicios.
Los expertos en ciberseguridad han señalado que esta diferencia del 10 por ciento en comparación con otros grupos de ‘ransomware’ «está atrayendo a operadores experimentados de programas rivales, quienes aportan sus habilidades y acceso a redes corporativas».
MILES DE POSIBLES VÍCTIMAS Y VELOCIDAD DE EJECUCIÓN ELEVADA
Además, desde Check Point han tenido acceso a un servidor de comando y control (C&C) activo relacionado con un afiliado de The Gentlemen, lo que les ha permitido evaluar la magnitud real de esta amenaza.
Gracias a este acceso, han podido verificar cómo este grupo está ascendiendo en su actividad y amenazando el ecosistema de la ciberseguridad, dado que cuentan con una ‘botnet’ que incluye más de 1.570 víctimas corporativas potenciales, superando con creces los datos que el grupo ha divulgado en su plataforma de filtración.
Además, destaca la rapidez de ejecución de este ‘ransomware’. Esto ocurre porque los ciberdelincuentes se especializan en vulnerar dispositivos conectados a internet, como las VPN o los ‘firewalls’, logrando cifrar redes completas «en cuestión de horas».
Como han especificado, en incidentes reales se logró desplegar el ‘ransomware’ a nivel de dominio mediante políticas de grupo (GPO) de manera «casi simultánea».
Otro aspecto que han identificado como distintivo de este grupo es que no tiene «límites éticos», ya que a diferencia de otros grupos que evitan atacar infraestructuras críticas, The Gentlemen considera al sector de la salud como «su tercer objetivo más frecuente», después de manufactura y tecnología.
Los investigadores también han notado su alcance global, con Estados Unidos encabezando la lista de víctimas, seguido de cerca por Alemania y el Reino Unido. En resumen, han resaltado que este aumento en el uso de The Gentlemen demuestra que la barrera de entrada para operar un programa profesional de RaaS se ha reducido «de manera drástica».
Como consecuencia, se facilita que nuevos actores maliciosos escalen rápidamente «sin necesidad de innovaciones técnicas disruptivas» ni conocimientos previos. En este contexto, desde Check Point Research han sugerido a las organizaciones reforzar sus medidas básicas de ciberseguridad «como primera línea de defensa».
Entre estas recomendaciones, han destacado la necesidad de mantener actualizados y parcheados todos los dispositivos expuestos a internet, especialmente sus soluciones de acceso remoto, así como implementar la autenticación multifactor como requisito esencial.
Por otro lado, han aconsejado segmentar las redes de las organizaciones para mitigar el impacto ante posibles intrusiones, además de asegurar la disponibilidad de copias de seguridad «aisladas y verificadas» y contar con soluciones específicas para detectar y mitigar este tipo de amenazas dentro de los entornos corporativos.
