728 x 90 px
The Gentlemen, un nuevo grupo de ransomware particular en su crecimiento y en su forma de operar. Desde su aparición a mediados de 2025, el grupo ha crecido a un ritmo comparable al de los primeros años de LockBit 3, un programa ampliamente considerado como el referente en operaciones de ransomware. Para abril de 2026, The Gentlemen (los Caballeros) había publicado más de 320 víctimas en su sitio web de filtración de datos, 240 de ellas ocurridas solo en los primeros meses de 2026. Esta cifra sólo refleja las organizaciones que se negaron a pagar; es casi seguro que el número real de víctimas sea mayor.
Check Point Research (CPR) ha estado siguiendo a este grupo desde su aparición, y su último análisis, que incluye los hallazgos de una intervención activa de respuesta a incidentes y el acceso a un servidor controlado por el atacante, revela por qué esta operación está creciendo tan rápidamente y qué implica para los equipos de seguridad empresarial.
¿Por qué están creciendo?: Mejores resultados económicos para los delincuentes
Para comprender por qué The Gentlemen atraen afiliados muy rápidamente, es necesario entender cómo funciona el modelo de negocio RaaS (Ransomware as a Service). Los operadores de ransomware desarrollan las herramientas y la infraestructura; los afiliados llevan a cabo los ataques y comparten el dinero del rescate con el operador.
(Automático aquí)
Los Caballeros ofrecen a sus afiliados una participación del 90 % en cada rescate pagado, frente al 80 % que ofrecen la mayoría de los programas de la competencia. En un ecosistema criminal impulsado por incentivos económicos, esa diferencia del 10 % es crucial. Está atrayendo a operadores experimentados de marcas consolidadas hacia este programa, quienes aportan sus habilidades, su acceso a redes corporativas y su trayectoria.
El resultado es un rápido crecimiento. El grupo no crece porque haya inventado un ataque completamente nuevo; de hecho, la mayoría de sus técnicas ya están establecidas. Crecen porque su modelo de negocio es más atractivo y porque han desarrollado un programa capaz de dar soporte a una amplia y creciente base de afiliados en entornos Windows, Linux y ESXi.
¿Quiénes son las víctimas?
Los ataques son principalmente oportunistas, no dirigidos. Buscan organizaciones con infraestructura expuesta y vulnerable a internet (como VPN, puertas de enlace de acceso remoto y portales de administración de firewalls) y las utilizan como puntos de entrada. Las empresas de fabricación y tecnología son la mayor parte de las víctimas, lo cual coincide con el panorama general del ransomware. Sin embargo, se destaca al sector de la salud como el tercero más atacado.
Geográficamente, Estados Unidos concentra el mayor número de víctimas, con el Reino Unido y Alemania también muy representados. CPR confirmó este patrón a partir del sitio web público de filtraciones del grupo y de la telemetría independiente obtenida del servidor de un atacante afiliado.
Lo que CPR encontró dentro del servidor de un atacante
Durante una intervención de respuesta a incidentes, los investigadores de CPR descubrieron que una filial de The Gentlemen, había desplegado infraestructura conectada a una operación mucho mayor de lo que un solo incidente podría sugerir. Al obtener acceso al servidor de comando y control en cuestión, el investigador pudo observar una botnet de más de 1570 víctimas, probablemente corporativas. Se trataba de organizaciones cuyos sistemas habían sido comprometidos silenciosamente y estaban a la espera de nuevas acciones.
Esta cifra es significativa por dos razones. Primero, supera el número de víctimas que el grupo afirma públicamente, lo que sugiere que la verdadera magnitud de su actividad es mayor de lo que aparece en su sitio web de filtraciones. Segundo, el perfil de las víctimas (sistemas empresariales, máquinas unidas a un dominio, credenciales corporativas) confirma que no se trata de un ataque oportunista a consumidores. Se trata de organizaciones, y es probable que sus datos ya estuvieran preparados para su exfiltración.
La velocidad es la característica definitoria
En el incidente al que respondió CPR, el atacante llegó con acceso administrativo a nivel de dominio ya establecido. A partir de ese momento, la intrusión escaló rápidamente: validación de credenciales en todo el entorno, movimiento lateral a decenas de hosts, desactivación de herramientas de seguridad y, finalmente, un despliegue de ransomware en todo el dominio activado mediante directivas de grupo, que afectó simultáneamente a todas las máquinas conectadas.La velocidad y la coordinación de este ataque reflejan que el grupo ha perfeccionado su estrategia. No improvisan; ejecutan un proceso documentado y probado, diseñado para maximizar el impacto antes de que los defensores puedan responder.
Los fundamentos siguen siendo las inversiones defensivas más importantes:
- Parchear primero la infraestructura conectada a internet: las VPN, los firewalls y las puertas de enlace de acceso remoto son el principal punto de entrada. Estos dispositivos deben tratarse con la misma urgencia que las aplicaciones web de acceso público.
- Asuma la posibilidad de que se comprometan las credenciales: Los afiliados de The Gentlemen pasan rápidamente del acceso inicial al control a nivel de dominio. La autenticación multifactor y los controles de acceso privilegiado son imprescindibles.
- Pruebe su capacidad de copia de seguridad y recuperación: Una copia de seguridad aislada y en funcionamiento es la herramienta más eficaz para limitar el impacto del ransomware. Muchas organizaciones descubren que su estrategia de copia de seguridad es inadecuada durante un incidente, no antes.
- Supervise el movimiento lateral, no solo la brecha perimetral: Para cuando el ransomware se activa, el atacante suele haber estado presente durante algún tiempo. La detección en la etapa de movimiento lateral ofrece la mejor oportunidad para interrumpir un ataque en curso.
- Segmente su red: El cifrado de todo el dominio mediante directivas de grupo solo es posible cuando un atacante tiene acceso al controlador de dominio y puede llegar a todos los puntos finales. La segmentación de la red limita tanto el alcance del atacante como el radio de impacto de una intrusión exitosa.
Amante de la tecnología con 7 años de experiencia en el cubrimiento informativo de este sector en temas como telecomunicaciones, tecnología de consumo, dispositivos móviles y plataformas en Colombia.
Mi opinión sobre tecnología ha sido tomada por medios como La República o AS. Soy especialista productos de consumo masivo y reviews de hardware. Soy director de tecnogus.com.co