- Brindan una oportunidad crucial para que las organizaciones entiendan cómo operan estos grupos delictivos y adopten medidas preventivas de seguridad.
- En México, LockBit ha sido responsable de al menos 31 ataques dirigidos contra empresas privadas y entidades gubernamentales desde 2021.
Recientemente se dio a conocer la filtración de documentos confidenciales relacionados con las negociaciones del grupo de ransomware LockBit, uno de los actores más activos y peligrosos del ecosistema global de ciberamenazas. Ante esta situación, la unidad de investigación de SILIKN llevó a cabo un análisis detallado de la información filtrada con el objetivo de comprender mejor el funcionamiento de esta organización criminal.
LockBit es una red de ciberdelincuentes que opera bajo el modelo de ransomware como servicio (RaaS), activo desde 2019. En este esquema, los desarrolladores del malware lo proporcionan a afiliados, quienes lo utilizan para comprometer sistemas de organizaciones en todo el mundo. Su operación se basa en tácticas sofisticadas de intrusión, cifrado de datos y extorsión, exigiendo rescates en criptomonedas a cambio de restablecer el acceso a los sistemas afectados o evitar la publicación de información robada.
En el caso de México, LockBit ha sido responsable de al menos 31 ataques dirigidos contra empresas privadas y entidades gubernamentales desde 2021. Entre las instituciones afectadas se encuentran la Secretaría de Salud de Veracruz, el Ayuntamiento de Juárez (Chihuahua), el Ayuntamiento de Macuspana (Tabasco) y el Gobierno del Estado de Yucatán, entre otras.
La reciente filtración masiva de comunicaciones internas del grupo, obtenida tras una operación policial internacional, permitió acceder a detalles inéditos sobre sus métodos de negociación con las víctimas.
La información filtrada incluye una base de datos interna de LockBit que expone cerca de 60,000 direcciones de Bitcoin, datos relacionados con la configuración y compilación de sus herramientas de ataque, información sobre sus operadores y afiliados, así como más de 4,400 mensajes de negociación registrados entre el 19 de diciembre de 2024 y el 29 de abril de 2025.
Este tipo de información proporciona una valiosa perspectiva sobre las tácticas empleadas por los operadores de LockBit y representa una oportunidad clave para que las organizaciones refuercen sus estrategias de prevención, detección y respuesta ante este tipo de amenazas.
¿Qué revelan los datos filtrados?
El análisis realizado por la unidad de investigación de la empresa a partir de las negociaciones expuestas ofrece hallazgos clave que resultan esenciales para las organizaciones que buscan fortalecer su postura ante este tipo de amenazas. Entre las lecciones más relevantes destacan varios elementos críticos que deben ser considerados:
1. Tácticas de presión psicológica: LockBit recurre a estrategias de negociación altamente agresivas, diseñadas específicamente para generar presión emocional y forzar a las víctimas a pagar. Algunas de las prácticas identificadas incluyen:
- Amenazas de divulgación de información: Publican extractos de los datos robados en la dark web como prueba de su control sobre la información y para intensificar la presión.
- Fechas límite estrictas: Imponen plazos muy reducidos para realizar los pagos, generando una sensación de urgencia que busca desestabilizar a la víctima.
- Manipulación emocional: Los operadores adaptan su discurso y tono en función de la reacción de la víctima, utilizando el miedo, la culpa o la desesperación como herramientas de control.
Ante este tipo de tácticas, es fundamental que las organizaciones mantengan la calma y eviten decisiones impulsivas. Contar con un equipo de respuesta a incidentes debidamente preparado, así como con un plan de comunicación estratégico, puede marcar la diferencia al enfrentar estas situaciones.
2. Negociaciones poco confiables: El análisis de las filtraciones revela que LockBit no mantiene una conducta coherente en sus negociaciones. En varios casos, las víctimas que realizaron el pago del rescate no recuperaron completamente el acceso a sus sistemas, o incluso vieron cómo sus datos eran publicados posteriormente. Además, los montos exigidos varían considerablemente, oscilando entre miles y millones de dólares, según la percepción que los atacantes tienen sobre la capacidad económica de la organización afectada.
Estos hallazgos refuerzan una advertencia crítica: el pago del rescate no garantiza ni la recuperación de la información ni la seguridad futura. Por ello, es esencial que las organizaciones enfoquen sus esfuerzos en fortalecer sus mecanismos de prevención, detección y recuperación, en lugar de depositar su confianza en las promesas de los atacantes.
3. Aprovechamiento de vulnerabilidades comunes: LockBit se infiltra en las redes aprovechando debilidades ampliamente conocidas, como el uso de contraseñas débiles, la falta de actualizaciones en el software y errores de configuración en servicios de acceso remoto, como RDP o VPN. Además, recurre a técnicas de ingeniería social y, en algunos casos, a vulnerabilidades de día cero para comprometer los sistemas.
Ante este panorama, una gestión proactiva de vulnerabilidades se vuelve fundamental. Las organizaciones deben llevar a cabo auditorías de seguridad periódicas, aplicar los parches disponibles con rapidez y reforzar sus controles de acceso mediante mecanismos como la autenticación multifactor (MFA). Estas acciones reducen significativamente las oportunidades de ataque y fortalecen la postura de seguridad general.
4. Alianzas entre grupos maliciosos: Las comunicaciones filtradas evidencian que LockBit mantiene vínculos con otros grupos de ransomware, con quienes comparte herramientas, técnicas y conocimientos. Esta colaboración potencia su capacidad operativa, incrementa el alcance de sus ataques y dificulta la atribución precisa de los responsables.
Ante este escenario, las organizaciones deben adoptar un enfoque de defensa en profundidad, que combine múltiples capas de protección. Esto incluye integrar inteligencia de amenazas para anticiparse a nuevas tácticas y fortalecer la cooperación con aliados estratégicos en ciberseguridad, a fin de responder de forma más eficaz ante riesgos emergentes.
A partir del análisis de los datos filtrados, la unidad de investigación de SILIKN propone una serie de acciones clave para ayudar a las organizaciones a mitigar riesgos y mejorar su capacidad de respuesta ante amenazas como LockBit:
- Gestión activa de vulnerabilidades: Emplear herramientas de escaneo continuo que permitan detectar y corregir vulnerabilidades en tiempo real, minimizando las oportunidades de explotación.
- Estrategia sólida de respaldos: Mantener copias de seguridad offline y realizar pruebas periódicas de restauración para asegurar la recuperación de la información sin depender del pago de rescates.
- Capacitación constante al personal: Sensibilizar a los empleados sobre los riesgos del phishing, la ingeniería social y las buenas prácticas en el uso de tecnologías de la información.
- Planes de respuesta a incidentes: Diseñar y poner a prueba protocolos claros de actuación frente a ciberataques, incluyendo la colaboración con autoridades competentes y expertos en ciberseguridad.
- Segmentación de la red: Restringir el acceso a sistemas sensibles para limitar el alcance de un ataque en caso de una brecha de seguridad.
- Monitoreo y detección avanzada: Implementar soluciones de detección y respuesta de endpoints (EDR) que permitan identificar comportamientos anómalos desde las primeras etapas de una intrusión.
La implementación integral de estas medidas permite a las organizaciones reforzar significativamente su postura de ciberseguridad y disminuir su nivel de exposición ante amenazas avanzadas. Las filtraciones de las negociaciones con LockBit brindan una oportunidad excepcional para comprender el funcionamiento interno de uno de los grupos de ransomware más activos y peligrosos a nivel global.
Si bien sus tácticas son altamente sofisticadas, las empresas pueden mantenerse a salvo adoptando un enfoque preventivo, fortaleciendo sus defensas y preparándose adecuadamente para enfrentar incidentes. El elemento clave radica en minimizar las vulnerabilidades, robustecer la infraestructura de seguridad y contar con la capacidad de responder eficazmente, sin ceder ante las presiones de los ciberdelincuentes.
Víctor Ruiz, fundador de SILIKN.
