Una investigación de la Counter Threat Unit de Secureworks revela cómo los cibercriminales adoptan modelos de negocio complejos, descentralizados y altamente escalables. La profesionalización del ransomware redefine las reglas del juego para empresas, gobiernos y expertos en seguridad.
La industria del ransomware está dejando atrás sus estructuras tradicionales para convertirse en un modelo criminal más sofisticado, flexible y organizado, comparable con la lógica operativa de los carteles del narcotráfico. Así lo señala el más reciente informe de la Counter Threat Unit (CTU) de Secureworks, la unidad de análisis de amenazas de la firma especializada en ciberseguridad empresarial.
El documento analiza cómo grupos como DragonForce y Anubis están transformando la manera en que se desarrolla, distribuye y ejecuta el ransomware. Lejos de ser bandas centralizadas que controlan cada etapa del ataque, estos grupos ahora ofrecen infraestructura como servicio: cifrado, paneles de negociación, servicios en la dark web y hasta soporte técnico para afiliados.
De “ransomware como servicio” a carteles descentralizados
El grupo DragonForce, por ejemplo, ha migrado desde un modelo clásico de RaaS (Ransomware as a Service) hacia una estrategia más abierta, en la que provee las herramientas básicas para que cualquier actor malicioso —desde individuos con poca experiencia hasta operadores más sofisticados— pueda lanzar campañas propias bajo su propia “marca”.
La dinámica es similar a la de un cartel que franquicia su operación: los afiliados no necesitan usar el malware original ni adherirse a protocolos específicos, solo integrarse al sistema operativo ofrecido por DragonForce a través de la red Tor, lo que dificulta enormemente el rastreo de la actividad criminal.
Esta descentralización permite escalar operaciones con rapidez, abaratar costos para los atacantes y multiplicar las variantes de ataques sin dejar una firma única, lo que complica los esfuerzos de atribución y respuesta por parte de los equipos de ciberseguridad.
Extorsión con amenaza legal: el “menú” de Anubis
Más disruptivo aún es el modelo presentado por el grupo Anubis, que estructura su operación con un “menú de extorsión de tres niveles”. Este enfoque apunta a usuarios de todos los niveles de sofisticación técnica, y combina herramientas accesibles con tácticas de presión jurídica.
La táctica más controvertida de Anubis es la de denunciar a las propias víctimas ante entidades regulatorias si no pagan el rescate. Organizaciones en sectores como salud o servicios financieros reciben amenazas de ser reportadas ante el HHS (Health and Human Services) de Estados Unidos o la ICO (Information Commissioner’s Office) del Reino Unido por presunto mal manejo de datos sensibles tras sufrir un ciberataque.
Este enfoque reconvierte las normativas de protección de datos en una herramienta de extorsión, ampliando la dimensión ética y legal del problema.
Una amenaza que se masifica y se descentraliza
Para Rafe Pilling, director de inteligencia de amenazas en Secureworks, lo que se observa no es solo una evolución táctica, sino un cambio de paradigma: “Tras las acciones coordinadas contra grandes operadores como LockBit, estamos viendo una nueva ola de grupos que replican el modelo con estructuras menos jerárquicas, más abiertas y más difíciles de desmantelar”.
Este fenómeno representa un riesgo para organizaciones de todos los tamaños. Cuando el ransomware se convierte en un servicio empaquetado, con interfaz de usuario, soporte técnico y manuales de uso, se democratiza el acceso a una de las amenazas más disruptivas de la última década.
Ya no se trata únicamente de criminales expertos, sino de cualquier actor con intenciones maliciosas que cuente con una conexión a internet y recursos básicos para operar. Esta accesibilidad convierte a cada organización en un blanco potencial, independientemente de su tamaño o ubicación.
El informe de la CTU de Secureworks plantea una advertencia clara: la cibercriminalidad está adoptando modelos de negocio modernos, similares a los de las plataformas tecnológicas más exitosas. Infraestructura como servicio, descentralización, reclutamiento activo y enfoque en la experiencia del usuario son ahora herramientas del delito digital.
Frente a este escenario, la prevención ya no puede limitarse a tecnologías defensivas tradicionales. Se requiere inversión sostenida en inteligencia de amenazas, formación en ciberseguridad, simulación de ataques y coordinación intersectorial para anticipar riesgos y responder con agilidad.
Entender cómo operan los nuevos grupos, qué los hace atractivos para afiliados y cómo evolucionan sus tácticas es una tarea urgente para gobiernos, empresas y organismos multilaterales. En la economía del cibercrimen, la ventaja la tiene quien se anticipa, no quien reacciona.
