Al cierre del año 2025, LockBit 5.0 se ha consolidado como la amenaza más significativa del último trimestre, impactando tanto en el ámbito empresarial como en la sociedad en general. En el informe, disponible al final de este artículo, se presenta un análisis detallado sobre la evolución técnica de LockBit, su repercusión en sectores estratégicos y una serie de recomendaciones prácticas orientadas a mitigar riesgos y reforzar la resiliencia digital.
LockBit 5.0 ha marcado un avance significativo en las tácticas de extorsión digital. Esta variante es capaz de operar en entornos Windows, Linux y VMware ESXi, empleando técnicas avanzadas de evasión, como el uso de herramientas legítimas del sistema, para cifrar información sin ser detectada. Su principal objetivo son las infraestructuras virtualizadas, donde puede paralizar decenas de servidores en cuestión de minutos, afectando gravemente a sectores críticos como la manufactura, los servicios públicos y el ámbito financiero.
Principales riesgos y sectores afectados
Los objetivos de LockBit son claros, afectar lo máximo posible y pedir rescates. Los principales sectores afectados son los siguientes:
- Manufactura e industria: Pues el 68% de los incidentes son representados por esta industria, suponiendo un alto coste por inactividad a la misma.
- Servicios y administración pública: Debido a la sensibilidad de los datos y la dependencia ciudadana a este sector, es uno de los objetivos de ataque.
- Sector financiero: Siempre ha sido un objetivo persistente, principalmente por su capacidad económica y los datos sensibles que se manejan.
- Ciudadanía: Se ve afectada indirectamente por los fraudes y las brechas en la cadena de suministro.
¿Cómo actúa LockBit 5.0?
A diferencia de sus predecesores, la versión 5.0 de LockBit tiene un patrón de ataque distinto:
- Ataques a virtualización: Cifra directamente los discos de servidores ESXi, provocando la caída inmediata de servicios críticos.
- Evasión avanzada: Se camufla como procesos legítimos (defrag.exe) y utiliza técnicas “Living off the Land”.
- Vectores de entrada: “Fake updates” (falsas actualizaciones de navegador), explotación de vulnerabilidades y robo de credenciales para acceso remoto.
Medidas y recomendaciones para mitigarlo
Ya que ha sido un ransomware tan peligroso, hemos investigado una serie de pautas para prevenirlo y mitigarlo en la medida de lo posible.
Para las PYMEs y empresas
Las PYMEs y empresas son las principales afectadas por el mismo, por lo que se recomienda:
- Blindar la virtualización: Aislar consolas de gestión ESXi y aplicar parches.
- EDR y monitorización: Afinar la detección de procesos anómalos y bloquear comandos como vssadmin.
- Backups inmutables: Mantener copias de seguridad offline y protegidas contra borrado.
- Gestión de identidades: MFA obligatorio para accesos remotos y revisión de privilegios.
- Formación: Concienciar sobre fraudes y “fake updates”.
Para la ciudadanía
Por supuesto los ciudadanos también puede ser afectados, aunque principalmente de manera indirecta, por lo que también se han investigado medidas para el hogar y uso personal:
- No descargar actualizaciones desde ventanas emergentes.
- Actualizar solo desde menús oficiales y tiendas de apps.
- Instalar antimalware en móviles, especialmente Android.
- Desconfiar de mensajes urgentes o alarmantes.
Más información:
Si desea saber más sobre este ransomware, y como mitigarlo en profundidad, ponemos a su disposición un informe detallado en el cuál podrá encontrar más información.
