El grupo Fog Ransomware adoptó una estrategia inusual al publicar direcciones IP y datos robados de sus víctimas en la Dark Web. Expertos alertaron sobre los riesgos de esta táctica en la seguridad operativa y reputacional de las organizaciones afectadas.
Imagen: Kaspersky
Durante el inicio de 2025, analistas de ciberseguridad identificaron un cambio táctico que marcó un nuevo hito en la evolución del ransomware. Se trata de una estrategia empleada por el grupo conocido como Fog Ransomware, en la que no solo se sustraen y cifran los datos de las víctimas, sino que también se hacen públicas sus direcciones IP y otros datos sensibles en sitios alojados en la Dark Web, sin mediación previa de negociaciones o peticiones de rescate.
Este método ha sido catalogado como una “extorsión directa por exposición técnica” y representa un riesgo crítico para organizaciones cuya infraestructura depende de la confidencialidad y del control de sus activos digitales. A diferencia del modelo de doble extorsión que ya se había popularizado en los últimos años —y que implicaba el cifrado de información junto a amenazas de filtración si no se realizaba el pago—, Fog Ransomware decidió eliminar la fase de espera, exponiendo los datos desde el principio. Esto acelera los tiempos de respuesta para las víctimas, al tiempo que incrementa el daño reputacional y operativo.
De acuerdo con los investigadores de Kaspersky, el grupo ha enfocado sus ataques en sectores como educación, recreación y servicios financieros, aunque no se descartan acciones en industrias con menor visibilidad pública. En todos los casos documentados, los atacantes accedieron a las redes internas de las organizaciones utilizando credenciales filtradas de VPN. Una vez dentro, ejecutaron procesos de cifrado que, según los registros analizados, se completaron en menos de dos horas, lo cual indica una operación ágil y automatizada.
Uno de los aspectos más preocupantes para los expertos en seguridad fue la decisión del grupo de publicar las direcciones IP de las víctimas. Esta acción abre múltiples vectores de riesgo, ya que permite a otros actores maliciosos rastrear vulnerabilidades expuestas, realizar escaneos automatizados, ejecutar campañas de botnets o facilitar nuevos ataques de ingeniería social, basados en información ya comprometida.
Desde una perspectiva operativa, esta táctica también dificulta la capacidad de respuesta de los equipos internos de TI. Con información sensible publicada públicamente, las organizaciones deben actuar en múltiples frentes: contención del incidente, evaluación del daño, restauración de servicios, actualización de sus mecanismos de protección y gestión de crisis reputacional. En muchos casos, esto implica el rediseño parcial o total de su arquitectura de red.
Además, la publicación inmediata de los datos compromete las posibilidades de recuperación silenciosa o discreta, ya que la noticia de una brecha puede escalar rápidamente por medios digitales, plataformas de monitoreo en la Dark Web y foros de ciberinteligencia. En industrias sensibles como manufactura, retail o telecomunicaciones, esta exposición puede afectar las relaciones comerciales, el cumplimiento normativo y la confianza de los clientes finales.
Kaspersky destacó que Fog Ransomware opera bajo un modelo de Ransomware como Servicio (RaaS), en el que los desarrolladores alquilan su software a afiliados, quienes ejecutan los ataques a cambio de una parte de los ingresos. Esta modalidad ha crecido de forma sostenida desde 2021 y facilita que individuos con poca experiencia técnica puedan lanzar campañas complejas, aprovechando kits automatizados y redes de distribución ya consolidadas.
La decisión de exponer IPs también podría responder, según expertos, a una tendencia decreciente en los pagos de rescate. Diversas fuentes del sector han reportado que el número de organizaciones dispuestas a pagar ha disminuido, en parte por políticas de aseguradoras, regulaciones más estrictas y mayores niveles de preparación defensiva. La táctica de “dañar primero” y negociar después busca revertir esta tendencia mediante el aumento del impacto inicial.
Ante este panorama, se renovaron las recomendaciones a organizaciones de todos los tamaños para reforzar sus controles de acceso, aplicar políticas de doble autenticación, segmentar sus redes, mantener actualizadas sus plataformas y diseñar planes de contingencia y continuidad operativa. También se recomendó el uso de soluciones de detección y respuesta extendida (XDR), herramientas de visibilidad de red, y simulaciones periódicas de escenarios de ataque.
La evolución de los métodos de extorsión utilizados por bandas de ransomware plantea un desafío creciente para empresas de todos los sectores. Para fabricantes, mayoristas y canales del ecosistema tecnológico, esta situación requiere un enfoque integral que combine tecnología, capacitación y colaboración con expertos en ciberseguridad para anticiparse a nuevas amenazas y proteger sus operaciones en un entorno digital cada vez más expuesto.
