LockBit desmantelado, BlackCat robó el dinero y RansomHub llenó el vacío — Cómo el Ransomware se reinventó en 2024

La Operación Cronos paralizó la infraestructura de LockBit en febrero de 2024, ALPHV/BlackCat implosionó en una estafa de salida de 22 millones de dólares semanas después, y RansomHub absorbió a los afiliados desplazados para convertirse en el operador de Ransomware más prolífico de 2024. Las victorias de las fuerzas del orden no redujeron la amenaza — la reorganizaron en algo más volátil y difícil de rastrear, preparando el terreno para un ecosistema fragmentado y asistido por inteligencia artificial que continúa escalando hasta mediados de 2026.

Operación Cronos: Anatomía de una gran disrupción

El 19 de febrero de 2024, una coalición de diez países liderada por la Agencia Nacional del Crimen (NCA) del Reino Unido y el FBI de EE. UU. ejecutó la Operación Cronos contra LockBit, el grupo de Ransomware dominante desde al menos 2022. Las autoridades incautaron 34 servidores en múltiples jurisdicciones, cerraron el sitio de filtración de LockBit en la dark web, cancelaron 14.000 cuentas irregulares, congelaron 200 carteras de criptomonedas y obtuvieron más de 1.000 claves de descifrado. Dos personas fueron detenidas en Polonia y Ucrania. Los ciudadanos rusos Artur Sungatov e Ivan Kondratyev (alias «Bassterlord») fueron procesados en Estados Unidos.

El componente psicológico de la operación fue tan significativo como el técnico. Las autoridades reutilizaron el propio sitio de filtración de LockBit para exponer el funcionamiento interno del grupo, publicar las identidades de los afiliados y dirigir mensajes personalizados a los miembros que iniciaban sesión en sus paneles de control. El presunto cabecilla, Dmitry Yuryevich Khoroshev (alias «LockBitSupp»), fue identificado públicamente y se fijó una recompensa de 10 millones de dólares del Departamento de Estado de EE. UU. por información que condujera a su captura. Posteriormente fue vetado de los principales foros de cibercrimen, cortando sus canales de captación y comunicación.

La disrupción fue real pero no permanente. En cuestión de días, LockBitSupp afirmó haber restaurado los sistemas. A mediados de 2025, el grupo se renombró como LockBit 4.0, sustituyendo su cifrado híbrido AES-256 + RSA-2048 por ChaCha20-Poly1305, adoptando un modelo de alojamiento federado y reformando su programa de afiliados. Check Point Research confirmó campañas de extorsión activas de LockBit 4.0 dirigidas a organizaciones en entornos Windows, Linux y ESXi en Europa, América y Asia en septiembre de 2025.

La estafa de salida de BlackCat: Una traición de 22 millones de dólares

Mientras las fuerzas del orden celebraban el golpe contra LockBit, ALPHV/BlackCat orquestó una de las traiciones más descaradas en la historia del Ransomware. En febrero de 2024, un afiliado de BlackCat comprometió Change Healthcare — una filial de UnitedHealth Group que procesa 15.000 millones de transacciones sanitarias anuales y toca uno de cada tres registros de pacientes en EE. UU. El vector de acceso inicial fue un portal de acceso remoto Citrix sin autenticación multifactor.

Change Healthcare detectó la brecha el 21 de febrero de 2024 y desconectó sus sistemas. El CEO de UnitedHealth Group, Andrew Witty, confirmó posteriormente que la empresa pagó un rescate de 22 millones de dólares en Bitcoin a BlackCat para intentar evitar que los datos de pacientes fueran publicados. No funcionó. Un afiliado descontento acusó públicamente a los operadores de BlackCat de haberse embolsado el pago íntegro sin repartir la comisión acordada — y de conservar todavía 4 terabytes de datos robados. Cuando BlackCat publicó un aviso falso de incautación por parte de las fuerzas del orden en su sitio de filtración en marzo de 2024, investigadores como Fabian Wosar, responsable de investigación de Ransomware en Emsisoft, lo identificaron rápidamente como una fabricación. El DOJ, Europol y la NCA negaron cualquier implicación. BlackCat había estafado a sus propios afiliados y cerrado.

Los daños colaterales fueron enormes. El ataque interrumpió la presentación de reclamaciones, la verificación de elegibilidad, el procesamiento de pagos y las transacciones de farmacias en todo el país. La American Hospital Association lo describió como «el incidente más significativo y de mayores consecuencias de este tipo contra el sistema de salud de EE. UU. en la historia». UnitedHealth Group reportó pérdidas de más de 870 millones de dólares solo en el primer trimestre de 2024, con costes totales de respuesta estimados entre 2.300 y 2.450 millones de dólares. Aproximadamente 190 millones de personas — más de la mitad de la población de EE. UU. — tuvieron sus datos comprometidos. Para colmo, RansomHub reclamó posteriormente poseer también los datos robados de Change Healthcare y exigió un segundo rescate a UnitedHealth Group.

RansomHub: El que llenó el vacío

RansomHub se lanzó en febrero de 2024 — el mismo mes del ataque a Change Healthcare — y su momento no fue coincidencia. Investigadores de múltiples empresas lo evalúan como un posible cambio de marca o derivado del Ransomware Knight (Cyclops), o que sus operadores adquirieron el código fuente de Knight. Su modelo de negocio fue diseñado explícitamente para atraer a afiliados perjudicados por las disrupciones de LockBit y BlackCat: los afiliados gestionan los pagos de rescates directamente y solo remiten una comisión del 10% al grupo central, frente al 20-30% habitual en las plataformas competidoras.

Las cifras de crecimiento son contundentes. RansomHub reclamó 531 nuevas víctimas en 2024, lo que representa el 9,8% de todos los casos de Ransomware rastreados globalmente, convirtiéndose en el grupo más dominante del año. Su volumen de ataques aumentó un 66% en la segunda mitad de 2024. Solo en septiembre de 2024, RansomHub listó 66 víctimas en un solo mes y representó el 16% de todos los ataques de Ransomware del tercer trimestre. Los objetivos abarcaron sistemas de agua y aguas residuales, instalaciones gubernamentales, sanidad, manufactura crítica, servicios financieros, transporte e infraestructuras de comunicaciones. Entre las víctimas de alto perfil se encuentran Frontier Communications, la casa de subastas británica Christie's y Halliburton.

La hegemonía de RansomHub resultó efímera. El 31 de marzo de 2025, su sitio onion quedó inactivo y su portal de clientes se desconectó al día siguiente. Rapid7 confirmó el cese completo de operaciones a principios de abril de 2025, con afiliados migrando a DragonForce y LockBit. DragonForce afirmó posteriormente haber tomado el control de la infraestructura de RansomHub.

La fase de fragmentación y la nueva consolidación

Los colapsos en serie de LockBit, BlackCat y RansomHub crearon un mercado de afiliados caótico. El número de grupos de Ransomware revelados públicamente creció de 79 en abril de 2023 a 96 en abril de 2025, con 52 nuevos grupos apareciendo en un solo año. Para 2025, se había observado en la práctica un récord de 124 grupos distintos con nombre propio. Los grupos más pequeños son más difíciles de desmantelar: se renombran rápidamente, la atribución se vuelve compleja y ninguna acción individual logra un impacto desproporcionado.

Dos grupos se movieron decisivamente hacia el vacío de poder. Qilin (también rastreado como Agenda), operativo desde 2022 con compilaciones multiplataforma en Golang y Rust dirigidas a Windows, Linux y VMware ESXi, registró un aumento del 408% en ataques a lo largo de 2025 y se convirtió en el principal grupo de Ransomware en junio de 2025. Los afiliados ganan entre el 80% y el 85% de los beneficios del rescate. Entre sus afiliados notables se encuentran FIN12 y Scattered Spider (Octo Tempest). Tras el cierre de RansomHub en abril de 2025, un número significativo de sus afiliados migró a Qilin. El grupo incluso introdujo un servicio de «periodista» interno para las publicaciones de su blog en el sitio de filtración — ampliamente valorado como generado por LLM — y una función de soporte para afiliados denominada «Call Lawyer».

DragonForce, activo desde agosto de 2023 y con linaje compartido con LockBit Green a través del código fuente filtrado de Conti v3, se renombró en marzo de 2025 como un «cartel». Su modelo permite a los afiliados operar bajo sus propias marcas aprovechando la infraestructura, las herramientas y el soporte de DragonForce. El grupo ofrece a los afiliados el 80% de los beneficios y ha listado más de 200 víctimas en sectores de comercio minorista, aerolíneas, seguros y proveedores de servicios gestionados. Se ha asociado con Scattered Spider y ataca activamente la infraestructura de grupos rivales para afirmar su dominio.

En el primer trimestre de 2026, Check Point Research observó una tendencia de consolidación que invierte la fragmentación: los 10 grupos principales comenzaron a acaparar una mayor proporción de las víctimas rastreadas, con Qilin, Akira y LockBit 4.0/5.0 absorbiendo afiliados desplazados a escala. Se proyecta que el total de incidentes globales de Ransomware supere los 12.000 en 2026 a los ritmos actuales.

Conclusiones para los defensores

• Imponer MFA en todos los portales de acceso remoto, sin excepción. La brecha de Change Healthcare comenzó con un endpoint de Citrix sin MFA. Este único fallo de control le costó a UnitedHealth Group más de 2.000 millones de dólares y comprometió los registros de 190 millones de pacientes.
• No asumir que el cierre de un grupo elimina su amenaza. LockBit se reconstruyó dos veces tras grandes disrupciones. Los afiliados de BlackCat y RansomHub migraron a nuevas plataformas en cuestión de semanas. Las suscripciones de inteligencia de amenazas deben rastrear la migración de afiliados, no solo los grupos con nombre.
• Segmentar y verificar la integridad de las copias de seguridad de forma continua. Tanto RansomHub como Qilin apuntan específicamente a hosts ESXi para destruir las copias de seguridad virtualizadas. Los procedimientos de recuperación aislados y probados siguen siendo la medida de mitigación de Ransomware más eficaz.
• Estar alerta ante el modelo cartel. El sistema de marca de afiliados de DragonForce significa que los ataques atribuidos a marcas desconocidas pueden compartir infraestructura, herramientas y tácticas con operadores bien documentados. Tratar los nombres de Ransomware desconocidos como potencialmente afiliados a un cartel hasta que se demuestre lo contrario.
• El riesgo de concentración en terceros es ahora un asunto a nivel de consejo de administración. El papel de Change Healthcare en el procesamiento de un tercio de los registros de pacientes de EE. UU. convirtió una sola infección de Ransomware en una crisis sanitaria nacional. El mapeo de la cadena de suministro y los requisitos de resiliencia de proveedores ya no son opcionales para los sectores de infraestructura crítica.