El grupo de ransomware The Gentlemen se ha consolidado como una de las amenazas cibernéticas más peligrosas y activas a nivel mundial, con ataques especialmente dirigidos contra los sectores tecnológico y sanitario. Según alertan expertos en ciberseguridad, este grupo opera bajo el modelo de ransomware como servicio (RaaS), lo que facilita que otros ciberdelincuentes utilicen su infraestructura a cambio de un reparto de beneficios, acelerando así su expansión y capacidad de ataque.
Aparecido a mediados de 2025, The Gentlemen ha crecido con rapidez gracias a un modelo de negocio muy agresivo, que ofrece un alto porcentaje de los beneficios a sus afiliados. Este enfoque ha atraído a atacantes experimentados y ha permitido al grupo aumentar de forma significativa el número de víctimas, situándolo entre los grupos de ransomware más activos del momento.
Su modus operandi destaca por la automatización y la velocidad. Los atacantes suelen explotar dispositivos expuestos a Internet, como VPN o cortafuegos mal configurados, para acceder a las redes. Una vez dentro, despliegan el ransomware de forma masiva en pocos minutos y combinan el cifrado de los sistemas con el robo de información, aplicando la técnica de doble extorsión para presionar a las víctimas con la amenaza de publicar los datos robados si no se paga el rescate.
Riesgos asociados
- Interrupción total de servicios críticos, especialmente grave en el sector sanitario, donde los ataques pueden afectar a la atención a pacientes.
- Pérdida y exposición de datos sensibles, incluyendo información personal, médica o confidencial de empresas.
- Impacto económico elevado, debido al pago de rescates, la paralización del negocio y los costes de recuperación.
- Daño reputacional, provocado por la filtración pública de información robada.
- Propagación rápida del ataque, gracias a la automatización y al uso de técnicas de despliegue masivo dentro de las redes comprometidas.
Medidas de protección para la ciudadanía
- Desconfiar de archivos y enlaces inesperados (correo, SMS o mensajería), especialmente si incitan a actuar con urgencia.
- Mantener dispositivos actualizados (sistema operativo y aplicaciones), para reducir el riesgo de infección por vulnerabilidades conocidas.
- Copias de seguridad de información importante (por ejemplo, en un soporte externo o nube de confianza) y comprobar que se pueden restaurar.
- Antimalware activo y actualizado y, cuando sea posible, activar medidas de protección frente a ransomware.
- Evitar usar cuentas con permisos de administrador para tareas diarias, siempre que sea viable.
Medidas de protección para PYMEs
- Revisar y reforzar el perímetro: minimizar exposición innecesaria de servicios a Internet (p. ej., VPN y cortafuegos) y mantenerlos al día, dado que el grupo aprovecha fallos en estos dispositivos expuestos.
- Limitar el despliegue masivo interno: controlar estrictamente quién puede usar políticas de grupo y auditar cambios, ya que se mencionan como mecanismo para distribuir el ransomware por la red.
- Copias de seguridad robustas (3-2-1) y pruebas periódicas de restauración, para recuperarse sin depender del pago.
- Segmentación de red (separar puestos, servidores y sistemas críticos) para reducir propagación rápida.
- MFA y mínimo privilegio: especialmente en accesos remotos y cuentas con permisos elevados.
- Monitorización y respuesta: alertas ante cifrado masivo, movimientos laterales y exfiltración; plan de respuesta a incidentes con roles y contactos definidos.
- Concienciación: formación breve y recurrente sobre phishing y manejo seguro de credenciales.
Fuente: www.20minutos.es
