{"id":6942,"date":"2025-05-20T14:40:35","date_gmt":"2025-05-20T17:40:35","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=6942"},"modified":"2025-05-20T14:48:54","modified_gmt":"2025-05-20T17:48:54","slug":"lockbit-2025","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/lockbit-2025\/","title":{"rendered":"LockBit 2025: el m\u00e1s pr\u00f3spero grupo de ransomware &#x1f525;&#x1f525;&#x1f525;"},"content":{"rendered":"<h1 data-sourcepos=\"1:1-1:79\">LockBit: Radiograf\u00eda de un Gigante del Ransomware y la Ciberguerra Asim\u00e9trica<\/h1>\n<h2 data-sourcepos=\"3:1-3:82\">&#x1f608;LockBit en el Epicentro de la Ciberdelincuencia Global<\/h2>\n<p data-sourcepos=\"5:1-5:774\">El panorama de la ciberseguridad global se ha visto recurrentemente amenazado por actores maliciosos de creciente sofisticaci\u00f3n.<\/p>\n<div class=\"wp-playlist wp-audio-playlist wp-playlist-light\">\n\t\t\t<div class=\"wp-playlist-current-item\"><\/div>\n\t\t<audio controls=\"controls\" preload=\"none\" width=\"640\"\n\t\t\t><\/audio>\n\t<div class=\"wp-playlist-next\"><\/div>\n\t<div class=\"wp-playlist-prev\"><\/div>\n\t<noscript>\n\t<ol>\n\t\t<li><a href='https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/05\/LockBit_-Gigante-del-Ransomware-y-Ciberguerra-Asimetrica.wav'>LockBit_ Gigante del Ransomware y Ciberguerra Asim\u00e9trica<\/a><\/li>\t<\/ol>\n\t<\/noscript>\n\t<script type=\"application\/json\" class=\"wp-playlist-script\">{\"type\":\"audio\",\"tracklist\":true,\"tracknumbers\":true,\"images\":true,\"artists\":true,\"tracks\":[{\"src\":\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/05\/LockBit_-Gigante-del-Ransomware-y-Ciberguerra-Asimetrica.wav\",\"type\":\"audio\/wav\",\"title\":\"LockBit_ Gigante del Ransomware y Ciberguerra Asim\\u00e9trica\",\"caption\":\"\",\"description\":\"\\u00abLockBit_ Gigante del Ransomware y Ciberguerra Asim\\u00e9trica\\u00bb.\",\"meta\":{\"length_formatted\":\"7:35\"},\"image\":{\"src\":\"https:\/\/itconnect.lat\/portal\/wp-includes\/images\/media\/audio.svg\",\"width\":48,\"height\":64},\"thumb\":{\"src\":\"https:\/\/itconnect.lat\/portal\/wp-includes\/images\/media\/audio.svg\",\"width\":48,\"height\":64}}]}<\/script>\n<\/div>\n\t\n<p data-sourcepos=\"5:1-5:774\">Entre ellos, el grupo de ransomware LockBit emergi\u00f3 en 2019 para convertirse r\u00e1pidamente en uno de los nombres m\u00e1s notorios y prol\u00edficos en la arena de la ciberdelincuencia.<\/p>\n<figure id=\"attachment_6947\" aria-describedby=\"caption-attachment-6947\" style=\"width: 400px\" class=\"wp-caption alignleft\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/05\/4-e1747762524874.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-6947\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/05\/4-e1747762524874.jpg\" alt=\"Lockbit\" width=\"400\" height=\"400\" title=\"\"><\/a><figcaption id=\"caption-attachment-6947\" class=\"wp-caption-text\">Lockbit<\/figcaption><\/figure>\n<p data-sourcepos=\"5:1-5:774\">Este grupo no representa un fen\u00f3meno aislado, sino que es emblem\u00e1tico de una amenaza cibern\u00e9tica persistente y en constante evoluci\u00f3n, cuyo impacto se traduce en p\u00e9rdidas millonarias y en la interrupci\u00f3n de servicios esenciales para la sociedad.<\/p>\n<p data-sourcepos=\"5:1-5:774\">La comprensi\u00f3n profunda de las operaciones y la naturaleza de LockBit es, por lo tanto, crucial para entender los desaf\u00edos actuales que enfrentan organizaciones, gobiernos e infraestructuras cr\u00edticas a nivel mundial.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"7:1-7:1193\">Un factor determinante en la r\u00e1pida expansi\u00f3n y el considerable impacto de LockBit ha sido su adopci\u00f3n del modelo de Ransomware-as-a-Service (RaaS).<\/p>\n<p data-sourcepos=\"7:1-7:1193\">Este modelo de negocio il\u00edcito ha democratizado el acceso a herramientas de ciberataque sofisticadas, permitiendo que afiliados con diversos niveles de habilidad t\u00e9cnica puedan lanzar campa\u00f1as de ransomware a cambio de un porcentaje de los rescates obtenidos.<\/p>\n<p data-sourcepos=\"7:1-7:1193\">Esta estructura operativa es indicativa de una tendencia m\u00e1s amplia hacia la industrializaci\u00f3n del cibercrimen.<\/p>\n<p data-sourcepos=\"7:1-7:1193\">La forma en que LockBit opera \u2013desarrollando &#8220;productos&#8221; de ransomware, utilizando &#8220;canales de distribuci\u00f3n&#8221; a trav\u00e9s de afiliados, ofreciendo un panel de administraci\u00f3n simplificado y funciones de &#8220;soporte&#8221; \u2013 refleja las caracter\u00edsticas de una empresa criminal estructurada.<\/p>\n<p data-sourcepos=\"7:1-7:1193\">En consecuencia, la lucha contra LockBit y entidades similares no solo demanda defensas t\u00e9cnicas robustas, sino tambi\u00e9n estrategias orientadas a desmantelar estas &#8220;empresas&#8221; delictivas, incluyendo sus modelos de negocio y sus redes de reclutamiento, lo que subraya la importancia de operaciones de disrupci\u00f3n de infraestructura como la denominada &#8220;Operaci\u00f3n Cronos&#8221;.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"9:1-9:1381\">La amenaza que representa LockBit es compleja, caracterizada por una innovaci\u00f3n constante en sus t\u00e1cticas y herramientas, una predilecci\u00f3n por atacar infraestructuras cr\u00edticas y una capacidad de adaptaci\u00f3n frente a las respuestas internacionales.<\/p>\n<p data-sourcepos=\"9:1-9:1381\">Ha sido calificado como la &#8220;principal amenaza global de ransomware&#8221; y sus ataques han afectado a una vasta gama de sectores vitales.<\/p>\n<p data-sourcepos=\"9:1-9:1381\">La accesibilidad inherente al modelo RaaS presenta una paradoja: si bien el n\u00facleo de desarrolladores de LockBit puede ser altamente sofisticado, la proliferaci\u00f3n de los ataques es obra de una multitud de afiliados, a menudo con menores grados de habilidad t\u00e9cnica.<\/p>\n<p data-sourcepos=\"9:1-9:1381\">Esta baja barrera de entrada incrementa dr\u00e1sticamente el n\u00famero potencial de atacantes, generando una &#8220;gran red de actores de amenazas desconectados que realizan ataques muy variados&#8221;.<\/p>\n<p data-sourcepos=\"9:1-9:1381\">Esta diversificaci\u00f3n de actores y t\u00e1cticas complica significativamente la atribuci\u00f3n de los ataques, la predicci\u00f3n del comportamiento de los ciberdelincuentes y la implementaci\u00f3n de defensas efectivas, ya que las T\u00e1cticas, T\u00e9cnicas y Procedimientos (TTPs) pueden variar considerablemente entre los distintos afiliados.<\/p>\n<p data-sourcepos=\"9:1-9:1381\">Por lo tanto, las estrategias defensivas deben ser lo suficientemente amplias y robustas para contrarrestar un espectro diverso de amenazas, no limit\u00e1ndose \u00fanicamente a las TTPs del grupo central.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"11:1-11:284\">El presente art\u00edculo se propone analizar en profundidad el funcionamiento interno de LockBit, su evoluci\u00f3n hist\u00f3rica, el impacto global de sus acciones y las contramedidas desarrolladas por la comunidad internacional, bas\u00e1ndose en inteligencia de fuentes abiertas y datos verificados.<\/p>\n<h2 data-sourcepos=\"13:1-13:110\">La Metamorfosis de LockBit: De C\u00f3digo Malicioso Emergente a Ecosistema Cibercriminal Sofisticado<\/h2>\n<p data-sourcepos=\"15:1-15:530\">La trayectoria de LockBit desde su aparici\u00f3n hasta convertirse en un actor dominante en el panorama del ransomware es una cr\u00f3nica de adaptaci\u00f3n, expansi\u00f3n y creciente sofisticaci\u00f3n t\u00e9cnica. Sus or\u00edgenes se remontan a septiembre de 2019, con la identificaci\u00f3n de un precursor conocido como &#8220;ABCD ransomware&#8221;, cuyo c\u00f3digo sent\u00f3 las bases para futuras iteraciones.<\/p>\n<p data-sourcepos=\"15:1-15:530\">El nombre &#8220;LockBit&#8221; comenz\u00f3 a circular oficialmente en foros cibercriminales de habla rusa en enero de 2020, marcando su entrada formal en el escenario delictivo.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"17:1-17:571\">Un hito significativo en su evoluci\u00f3n fue el lanzamiento de LockBit 2.0, tambi\u00e9n conocido como LockBit Red, en junio de 2021.<\/p>\n<p data-sourcepos=\"17:1-17:571\">Esta versi\u00f3n introdujo una herramienta crucial denominada StealBit, dise\u00f1ada para la exfiltraci\u00f3n de datos de las v\u00edctimas antes del proceso de cifrado.<\/p>\n<p data-sourcepos=\"17:1-17:571\">Esta capacidad consolid\u00f3 la t\u00e1ctica de &#8220;doble extorsi\u00f3n&#8221;, mediante la cual los atacantes no solo exigen un rescate por la clave de descifrado, sino que tambi\u00e9n amenazan con publicar la informaci\u00f3n robada si no se cumplen sus demandas, incrementando as\u00ed la presi\u00f3n sobre las v\u00edctimas.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"19:1-19:785\">La ambici\u00f3n del grupo se hizo patente con la expansi\u00f3n de sus objetivos. En octubre de 2021, LockBit lanz\u00f3 una versi\u00f3n de su ransomware capaz de atacar sistemas Linux y entornos de virtualizaci\u00f3n VMware ESXi.<\/p>\n<p data-sourcepos=\"19:1-19:785\">Esta diversificaci\u00f3n demostr\u00f3 una estrategia clara para impactar de manera m\u00e1s severa a las organizaciones empresariales, que dependen en gran medida de estas tecnolog\u00edas. La evoluci\u00f3n continu\u00f3 con el debut de LockBit 3.0, o LockBit Black, en junio de 2022.<\/p>\n<p data-sourcepos=\"19:1-19:785\">Esta nueva iteraci\u00f3n no solo abord\u00f3 fallos detectados en versiones anteriores, sino que tambi\u00e9n incorpor\u00f3 influencias de otros notorios grupos de ransomware como BlackMatter y Alphv (tambi\u00e9n conocido como BlackCat), evidenciando una mejora sustancial en sus capacidades de evasi\u00f3n de sistemas de seguridad.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"21:1-21:1526\">Un evento disruptivo ocurri\u00f3 en septiembre de 2022, cuando el constructor (builder) de LockBit 3.0 fue filtrado en l\u00ednea. Este incidente tuvo la potencial consecuencia de una mayor propagaci\u00f3n del malware por parte de actores no afiliados directamente al grupo original, complicando a\u00fan m\u00e1s el panorama de amenazas. Sin embargo, LockBit continu\u00f3 su desarrollo: en enero de 2023, se introdujo LockBit Green, una variante que integraba c\u00f3digo fuente del ransomware Conti.<\/p>\n<p data-sourcepos=\"21:1-21:1526\">Esta &#8220;polinizaci\u00f3n cruzada&#8221; de malware, donde se observa que LockBit 3.0 muestra influencias de <strong>BlackMatter<\/strong> y <strong>Alphv y LockBit Green<\/strong> integra c\u00f3digo de Conti , sugiere que los desarrolladores de ransomware no operan en completo aislamiento.<\/p>\n<p data-sourcepos=\"21:1-21:1526\">Podr\u00eda indicar un movimiento de talento entre grupos, la venta o robo de c\u00f3digo fuente, o simplemente la imitaci\u00f3n de caracter\u00edsticas exitosas observadas en otras familias de malware.<\/p>\n<p data-sourcepos=\"21:1-21:1526\">Este fen\u00f3meno apunta a la existencia de un &#8220;ecosistema&#8221; o &#8220;mercado negro&#8221; de herramientas, t\u00e9cnicas y posiblemente desarrolladores en el mundo del ransomware.<\/p>\n<p data-sourcepos=\"21:1-21:1526\">Los grupos aprenden unos de otros, lo que puede llevar a una convergencia de ciertas t\u00e1cticas o a la r\u00e1pida propagaci\u00f3n de innovaciones efectivas. Por ello, las defensas deben anticipar no solo las TTPs conocidas de un grupo espec\u00edfico, sino tambi\u00e9n las tendencias emergentes en todo el espectro del ransomware.<\/p>\n<p data-sourcepos=\"21:1-21:1526\">La filtraci\u00f3n del constructor de LockBit 3.0 es un claro ejemplo de c\u00f3mo estas herramientas pueden diseminarse y ser adoptadas por otros actores.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"23:1-23:592\">Finalmente, en abril de 2023, LockBit expandi\u00f3 nuevamente su espectro de ataque al desarrollar capacidades para afectar sistemas macOS , reflejando una adaptaci\u00f3n continua para ampliar su base de v\u00edctimas potenciales.<\/p>\n<p data-sourcepos=\"23:1-23:592\">A lo largo de esta evoluci\u00f3n, el modelo RaaS ha sido el motor fundamental que ha permitido a LockBit escalar sus operaciones de manera exponencial, reclutando una vasta red de afiliados que ejecutan los ataques a cambio de un porcentaje de los rescates obtenidos.<\/p>\n<p data-sourcepos=\"23:1-23:592\">La &#8220;eficiencia y dificultad de detecci\u00f3n&#8221; de su malware tambi\u00e9n han contribuido a su predominio.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"25:1-25:1295\">Esta constante evoluci\u00f3n no es meramente una respuesta a las contramedidas de seguridad, sino una estrategia calculada para la supervivencia y el dominio en un &#8220;mercado&#8221; cibercriminal altamente competitivo.<\/p>\n<p data-sourcepos=\"25:1-25:1295\">El r\u00e1pido ciclo de desarrollo y la &#8220;innovaci\u00f3n&#8221; , con m\u00faltiples versiones lanzadas en cortos periodos y la incorporaci\u00f3n de mejoras y c\u00f3digo de otros ransomwares , se asemeja al desarrollo de productos en entornos comerciales leg\u00edtimos.<\/p>\n<p data-sourcepos=\"25:1-25:1295\">El panorama del ransomware es inherentemente competitivo, con diversos grupos disput\u00e1ndose afiliados y v\u00edctimas.<\/p>\n<p data-sourcepos=\"25:1-25:1295\">Por lo tanto, la evoluci\u00f3n de LockBit busca mantener su &#8220;producto&#8221; atractivo para los ciberdelincuentes, ofreciendo herramientas m\u00e1s potentes y vers\u00e1tiles que las de sus rivales. Se trata de una carrera armamentista tanto contra los defensores como contra otros operadores de RaaS.<\/p>\n<p data-sourcepos=\"25:1-25:1295\">Esto implica que las fuerzas del orden y los equipos de ciberseguridad no solo combaten una pieza de malware est\u00e1tica, sino una entidad que se adapta din\u00e1micamente a las presiones del entorno y a las acciones en su contra.<\/p>\n<p data-sourcepos=\"25:1-25:1295\">Interrupciones como la filtraci\u00f3n del constructor o la Operaci\u00f3n Cronos pueden representar contratiempos, pero la amenaza puede persistir si el &#8220;modelo de negocio&#8221; subyacente y la capacidad de innovaci\u00f3n del grupo perduran.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"27:1-27:90\">A continuaci\u00f3n, se presenta una tabla que resume la cronolog\u00eda de la evoluci\u00f3n de LockBit:<\/p>\n<p data-sourcepos=\"29:1-29:60\"><strong>Tabla 1: Cronolog\u00eda Detallada de la Evoluci\u00f3n de LockBit<\/strong><\/p>\n<div class=\"horizontal-scroll-wrapper\">\n<table data-sourcepos=\"31:1-41:225\">\n<tbody>\n<tr data-sourcepos=\"31:1-31:92\">\n<th data-sourcepos=\"31:1-31:7\">Fecha<\/th>\n<th data-sourcepos=\"31:9-31:24\">Versi\u00f3n\/Evento<\/th>\n<th data-sourcepos=\"31:26-31:58\">Caracter\u00edsticas Clave\/Novedades<\/th>\n<th data-sourcepos=\"31:60-31:80\">Impacto\/Significado<\/th>\n<th data-sourcepos=\"31:82-31:90\">Fuentes<\/th>\n<\/tr>\n<tr data-sourcepos=\"33:1-33:152\">\n<td data-sourcepos=\"33:1-33:17\">Septiembre 2019<\/td>\n<td data-sourcepos=\"33:19-33:51\">Emergencia de &#8220;ABCD ransomware&#8221;<\/td>\n<td data-sourcepos=\"33:53-33:109\">C\u00f3digo fundacional para futuras iteraciones de LockBit.<\/td>\n<td data-sourcepos=\"33:111-33:144\">Origen de la familia de malware.<\/td>\n<td data-sourcepos=\"33:146-33:150\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"34:1-34:154\">\n<td data-sourcepos=\"34:1-34:12\">Enero 2020<\/td>\n<td data-sourcepos=\"34:14-34:45\">Aparici\u00f3n oficial de &#8220;LockBit&#8221;<\/td>\n<td data-sourcepos=\"34:47-34:99\">Discusiones en foros cibercriminales de habla rusa.<\/td>\n<td data-sourcepos=\"34:101-34:146\">Introducci\u00f3n formal del nombre y la amenaza.<\/td>\n<td data-sourcepos=\"34:148-34:152\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"35:1-35:228\">\n<td data-sourcepos=\"35:1-35:12\">Junio 2021<\/td>\n<td data-sourcepos=\"35:14-35:55\">Lanzamiento de LockBit 2.0 (LockBit Red)<\/td>\n<td data-sourcepos=\"35:57-35:128\">Introducci\u00f3n de StealBit para exfiltraci\u00f3n de datos antes del cifrado.<\/td>\n<td data-sourcepos=\"35:130-35:220\">Consolidaci\u00f3n de la t\u00e1ctica de doble extorsi\u00f3n, aumentando la presi\u00f3n sobre las v\u00edctimas.<\/td>\n<td data-sourcepos=\"35:222-35:226\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"36:1-36:215\">\n<td data-sourcepos=\"36:1-36:14\">Octubre 2021<\/td>\n<td data-sourcepos=\"36:16-36:62\">Lanzamiento de la versi\u00f3n para Linux-ESXi 1.0<\/td>\n<td data-sourcepos=\"36:64-36:114\">Capacidad de atacar sistemas Linux y VMware ESXi.<\/td>\n<td data-sourcepos=\"36:116-36:207\">Ampliaci\u00f3n significativa de la base de v\u00edctimas potenciales a entornos corporativos clave.<\/td>\n<td data-sourcepos=\"36:209-36:213\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"37:1-37:189\">\n<td data-sourcepos=\"37:1-37:12\">Marzo 2022<\/td>\n<td data-sourcepos=\"37:14-37:54\">Descubrimiento de fallos en LockBit 2.0<\/td>\n<td data-sourcepos=\"37:56-37:115\">Vulnerabilidades cr\u00edticas identificadas en la versi\u00f3n 2.0.<\/td>\n<td data-sourcepos=\"37:117-37:181\">Impuls\u00f3 el desarrollo de una versi\u00f3n actualizada y m\u00e1s robusta.<\/td>\n<td data-sourcepos=\"37:183-37:187\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"38:1-38:252\">\n<td data-sourcepos=\"38:1-38:12\">Junio 2022<\/td>\n<td data-sourcepos=\"38:14-38:51\">Debut de LockBit 3.0 (LockBit Black)<\/td>\n<td data-sourcepos=\"38:53-38:153\">Abord\u00f3 fallos de LockBit 2.0, influencias de BlackMatter y Alphv, capacidades de evasi\u00f3n mejoradas.<\/td>\n<td data-sourcepos=\"38:155-38:241\">Mayor sofisticaci\u00f3n y dificultad de detecci\u00f3n, mostrando aprendizaje de otros grupos.<\/td>\n<td data-sourcepos=\"38:243-38:250\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"39:1-39:217\">\n<td data-sourcepos=\"39:1-39:17\">Septiembre 2022<\/td>\n<td data-sourcepos=\"39:19-39:61\">Filtraci\u00f3n del constructor de LockBit 3.0<\/td>\n<td data-sourcepos=\"39:63-39:106\">El builder de LockBit 3.0 se hizo p\u00fablico.<\/td>\n<td data-sourcepos=\"39:108-39:209\">Potencial mayor propagaci\u00f3n del malware por actores no afiliados, democratizaci\u00f3n de la herramienta.<\/td>\n<td data-sourcepos=\"39:211-39:215\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"40:1-40:197\">\n<td data-sourcepos=\"40:1-40:12\">Enero 2023<\/td>\n<td data-sourcepos=\"40:14-40:44\">Introducci\u00f3n de LockBit Green<\/td>\n<td data-sourcepos=\"40:46-40:97\">Integraci\u00f3n de c\u00f3digo fuente del ransomware Conti.<\/td>\n<td data-sourcepos=\"40:99-40:189\">Evidencia de &#8220;polinizaci\u00f3n cruzada&#8221; y reutilizaci\u00f3n de c\u00f3digo entre grupos de ransomware.<\/td>\n<td data-sourcepos=\"40:191-40:195\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"41:1-41:225\">\n<td data-sourcepos=\"41:1-41:12\">Abril 2023<\/td>\n<td data-sourcepos=\"41:14-41:49\">Capacidad de atacar sistemas macOS<\/td>\n<td data-sourcepos=\"41:51-41:120\">Expansi\u00f3n de LockBit para incluir macOS en su espectro de objetivos.<\/td>\n<td data-sourcepos=\"41:122-41:217\">Refleja una adaptaci\u00f3n continua para alcanzar un mayor n\u00famero de v\u00edctimas y tipos de sistemas.<\/td>\n<td data-sourcepos=\"41:219-41:223\"><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<h3><span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0<\/span>Anatom\u00eda de un Ataque LockBit: El Modus Operandi Desvelado<\/h3>\n<p data-sourcepos=\"45:1-45:311\">Comprender el <em>modus operandi<\/em> de LockBit es fundamental para desarrollar estrategias de defensa efectivas. Sus ataques, aunque pueden variar ligeramente seg\u00fan el afiliado que los ejecute, suelen seguir un patr\u00f3n estructurado que abarca m\u00faltiples fases, alineadas con marcos de referencia como MITRE ATT&amp;CK.<\/p>\n<h3 data-sourcepos=\"47:1-48:1227\"><strong>Fase de Acceso Inicial (TA0001): La Puerta de Entrada<\/strong><\/h3>\n<figure id=\"attachment_6944\" aria-describedby=\"caption-attachment-6944\" style=\"width: 400px\" class=\"wp-caption alignright\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/05\/1-e1747762742278.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-6944\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/05\/1-e1747762742278.jpg\" alt=\"Lockbit\" width=\"400\" height=\"400\" title=\"\"><\/a><figcaption id=\"caption-attachment-6944\" class=\"wp-caption-text\">Lockbit<\/figcaption><\/figure>\n<p data-sourcepos=\"47:1-48:1227\">Los afiliados de LockBit emplean una diversidad de vectores para obtener el acceso inicial a las redes de sus v\u00edctimas.<\/p>\n<p data-sourcepos=\"47:1-48:1227\">Entre los m\u00e9todos documentados se encuentran la explotaci\u00f3n de vulnerabilidades en el Protocolo de Escritorio Remoto (RDP) , los ataques de <em>drive-by compromise<\/em> (donde la v\u00edctima se infecta simplemente visitando un sitio web comprometido) , extensas campa\u00f1as de phishing , el abuso de credenciales de cuentas v\u00e1lidas previamente comprometidas y la explotaci\u00f3n de vulnerabilidades en aplicaciones p\u00fablicas expuestas a internet.<\/p>\n<p data-sourcepos=\"47:1-48:1227\">Un ejemplo prominente y reciente de esta \u00faltima t\u00e1ctica es la explotaci\u00f3n de la vulnerabilidad conocida como Citrix Bleed (<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2023-4966\" target=\"_blank\" rel=\"noopener\">CVE-2023-4966<\/a>), que afecta a los dispositivos Citrix NetScaler ADC y Gateway.<\/p>\n<p data-sourcepos=\"47:1-48:1227\">Esta falla permite a los atacantes eludir los requisitos de contrase\u00f1a y la autenticaci\u00f3n multifactor (MFA), secuestrar sesiones de usuarios leg\u00edtimos y, a trav\u00e9s de ellas, obtener permisos elevados para recolectar credenciales, moverse lateralmente y acceder a datos y recursos cr\u00edticos. Adem\u00e1s, se ha observado que los operadores de LockBit tambi\u00e9n recurren a la compra de acceso a redes previamente comprometidas por otros actores cibercriminales.<span class=\"button-container hide-from-message-actions ng-star-inserted\"> \u00a0<\/span><\/p>\n<h3 data-sourcepos=\"50:1-51:871\"><strong>Fase de Ejecuci\u00f3n (TA0002) y Persistencia (TA0003): Establecimiento en el Sistema<\/strong><\/h3>\n<p data-sourcepos=\"50:1-51:871\">Una vez dentro de la red, LockBit 3.0 presenta una caracter\u00edstica particular: si el afiliado no dispone de una versi\u00f3n que se ejecute sin contrase\u00f1a, se requiere una contrase\u00f1a espec\u00edfica para su activaci\u00f3n.<\/p>\n<p data-sourcepos=\"50:1-51:871\">Esta contrase\u00f1a funciona como una clave criptogr\u00e1fica que descifra el ejecutable del malware, lo que complica significativamente su an\u00e1lisis est\u00e1tico y la detecci\u00f3n basada en firmas tradicionales, ya que cada instancia del malware, al ser cifrada con una clave potencialmente diferente, genera un hash criptogr\u00e1fico \u00fanico.<\/p>\n<p data-sourcepos=\"50:1-51:871\">Para la ejecuci\u00f3n de comandos maliciosos y el despliegue de herramientas adicionales, los afiliados pueden utilizar scripts (por ejemplo, archivos batch) y herramientas de despliegue de software.<\/p>\n<p data-sourcepos=\"50:1-51:871\">Las t\u00e9cnicas de persistencia aseguran que el malware pueda sobrevivir a reinicios del sistema y mantener el acceso a largo plazo.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0<\/span><\/p>\n<h3 data-sourcepos=\"53:1-54:1794\"><strong>Fase de Escalada de Privilegios (TA0004) y Evasi\u00f3n de Defensas (TA0005): Eludiendo la Detecci\u00f3n<\/strong><\/h3>\n<p data-sourcepos=\"53:1-54:1794\">Para operar con mayor libertad y acceder a datos sensibles, los atacantes buscan escalar sus privilegios dentro del sistema comprometido. Paralelamente, implementan diversas t\u00e9cnicas para evadir las herramientas de seguridad, como las soluciones de Detecci\u00f3n y Respuesta en Endpoints (EDR) y el software antivirus.<\/p>\n<p data-sourcepos=\"53:1-54:1794\">Una t\u00e1ctica de evasi\u00f3n distintiva de LockBit es su selectividad de objetivos basada en la configuraci\u00f3n de idioma del sistema. El malware est\u00e1 dise\u00f1ado para evitar la infecci\u00f3n de sistemas que tengan configurados idiomas pertenecientes a una lista de exclusi\u00f3n predefinida, que incluye, entre otros, el ruso, el rumano (Moldavia) y el \u00e1rabe (Siria).<\/p>\n<p data-sourcepos=\"53:1-54:1794\">Esta caracter\u00edstica sugiere un intento de evadir la atenci\u00f3n de las fuerzas del orden en ciertas regiones geogr\u00e1ficas. Otras t\u00e1cticas de evasi\u00f3n incluyen la eliminaci\u00f3n de registros de eventos (logs) y la deshabilitaci\u00f3n o modificaci\u00f3n de herramientas de seguridad para operar sin ser detectados.<\/p>\n<p data-sourcepos=\"53:1-54:1794\">Este enfoque de evasi\u00f3n en m\u00faltiples capas \u2014t\u00e9cnica (ejecutable cifrado), operacional (eliminaci\u00f3n de logs, desactivaci\u00f3n de EDRs) y geopol\u00edtica (lista de exclusi\u00f3n de idiomas)\u2014 demuestra una conciencia sofisticada por parte de LockBit sobre c\u00f3mo funcionan las defensas de ciberseguridad y las investigaciones forenses.<\/p>\n<p data-sourcepos=\"53:1-54:1794\">La lista de exclusi\u00f3n de idiomas, por ejemplo, es un fuerte indicio de un intento deliberado de evitar la persecuci\u00f3n en pa\u00edses donde podr\u00edan residir los operadores principales o una parte significativa de sus afiliados.<\/p>\n<p data-sourcepos=\"53:1-54:1794\">Combatir este tipo de evasi\u00f3n requiere, por tanto, contramedidas igualmente estratificadas: defensas t\u00e9cnicas robustas, inteligencia sobre sus t\u00e1cticas operacionales y una cooperaci\u00f3n internacional efectiva para abordar los aspectos geopol\u00edticos que facilitan sus operaciones.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<h3 data-sourcepos=\"56:1-57:601\"><strong>Fase de Acceso a Credenciales (TA0006) y Descubrimiento (TA0007): Mapeo del Entorno<\/strong><\/h3>\n<p data-sourcepos=\"56:1-57:601\">La obtenci\u00f3n de credenciales v\u00e1lidas es un objetivo primordial para facilitar el movimiento lateral y el acceso a sistemas cr\u00edticos. LockBit utiliza herramientas como Mimikatz y Microsoft Sysinternals ProcDump para extraer credenciales de la memoria, particularmente del proceso LSASS.<\/p>\n<p data-sourcepos=\"56:1-57:601\">Una vez obtenidas las credenciales o con los privilegios necesarios, los atacantes proceden a una fase de descubrimiento, escaneando la red para identificar activos de valor, como servidores de bases de datos, sistemas de almacenamiento de copias de seguridad y otros repositorios de informaci\u00f3n sensible.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<h3 data-sourcepos=\"59:1-60:556\"><strong>Fase de Movimiento Lateral (TA0008): Expansi\u00f3n Interna en la Red<\/strong><\/h3>\n<p data-sourcepos=\"59:1-60:556\">Con credenciales comprometidas o mediante la explotaci\u00f3n de vulnerabilidades internas, los afiliados de LockBit se mueven lateralmente a trav\u00e9s de la red de la v\u00edctima.<\/p>\n<p data-sourcepos=\"59:1-60:556\">Utilizan credenciales codificadas o previamente robadas y herramientas de administraci\u00f3n leg\u00edtimas o maliciosas como PsExec, a menudo en conjunto con el protocolo SMB, para propagar el ransomware a otros sistemas.<\/p>\n<p data-sourcepos=\"59:1-60:556\">Tambi\u00e9n se ha documentado el uso de frameworks de post-explotaci\u00f3n como Cobalt Strike para facilitar este movimiento y mantener el control sobre m\u00faltiples m\u00e1quinas.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<h3 data-sourcepos=\"62:1-63:519\"><strong>Fase de Recolecci\u00f3n (TA0009) y Exfiltraci\u00f3n (TA0010): El Doble Golpe de la Extorsi\u00f3n<\/strong><\/h3>\n<p data-sourcepos=\"62:1-63:519\">Antes de proceder al cifrado de los archivos, una t\u00e1ctica central de LockBit, especialmente a partir de su versi\u00f3n 2.0, es la exfiltraci\u00f3n de datos valiosos.<\/p>\n<p data-sourcepos=\"62:1-63:519\">Se identifican y copian grandes vol\u00famenes de informaci\u00f3n sensible, utilizando herramientas especializadas como StealBit , o utilidades de transferencia de archivos como rclone, y servicios de almacenamiento en la nube como MEGA para extraer los datos fuera de la red de la v\u00edctima. Esta informaci\u00f3n robada se convierte en una segunda palanca de extorsi\u00f3n.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<h3 data-sourcepos=\"65:1-66:790\"><strong>Fase de Impacto (TA0040): Cifrado de Archivos y Demanda de Rescate<\/strong><\/h3>\n<p data-sourcepos=\"65:1-66:790\">La fase final y m\u00e1s visible del ataque es el cifrado de los archivos en los sistemas comprometidos. LockBit utiliza algoritmos de cifrado robustos para hacer inaccesibles los datos de la v\u00edctima. Posteriormente, se presenta una nota de rescate en los sistemas afectados, que generalmente instruye a la v\u00edctima sobre c\u00f3mo realizar el pago (a menudo en criptomonedas como Bitcoin o Monero ) para obtener la clave de descifrado.<\/p>\n<p data-sourcepos=\"65:1-66:790\">El ataque tambi\u00e9n busca interrumpir las operaciones del sistema terminando procesos y servicios relevantes que podr\u00edan interferir con el cifrado o permitir la recuperaci\u00f3n. La amenaza de publicar los datos exfiltrados si no se paga el rescate constituye la esencia de la doble extorsi\u00f3n, aumentando dr\u00e1sticamente la presi\u00f3n sobre la organizaci\u00f3n afectada.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"68:1-68:1165\">Es importante destacar que la explotaci\u00f3n de vulnerabilidades conocidas (N-Day), es decir, aquellas para las cuales ya existe un parche, sigue siendo un pilar fundamental en la estrategia de acceso de LockBit, a pesar de la disponibilidad de soluciones.<\/p>\n<p data-sourcepos=\"68:1-68:1165\">La explotaci\u00f3n activa de CVEs como Citrix Bleed , vulnerabilidades en Apache Log4j, y otras listadas por agencias como CISA , indica que muchas organizaciones no est\u00e1n aplicando parches de manera oportuna o completa.<\/p>\n<p data-sourcepos=\"68:1-68:1165\">LockBit se beneficia directamente de esta &#8220;deuda de parches&#8221; o de las deficiencias en los programas de gesti\u00f3n de vulnerabilidades.<\/p>\n<p data-sourcepos=\"68:1-68:1165\">No siempre necesitan recurrir a vulnerabilidades de d\u00eda cero (zero-day); las vulnerabilidades conocidas son a menudo suficientes si no se gestionan adecuadamente. Esto subraya la importancia cr\u00edtica de una gesti\u00f3n de vulnerabilidades proactiva y \u00e1gil como una de las defensas m\u00e1s efectivas.<\/p>\n<p data-sourcepos=\"68:1-68:1165\">La colaboraci\u00f3n p\u00fablico-privada, como el caso de Boeing compartiendo Indicadores de Compromiso (IOCs) relacionados con la explotaci\u00f3n de Citrix Bleed , es vital para alertar r\u00e1pidamente a otras organizaciones sobre estas campa\u00f1as de explotaci\u00f3n activas.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<div class=\"container ng-tns-c2116206256-52 hide\">\n<div class=\"carousel-container ng-tns-c2116206256-52\">\n<div class=\"carousel-content ng-tns-c2116206256-52\">\n<div class=\"sources-carousel-source ng-tns-c2116206256-52 hide ng-star-inserted\" data-test-id=\"sources-carousel-source\"><span style=\"font-size: 16px;\">A continuaci\u00f3n, se presentan tablas que detallan las TTPs y CVEs com\u00fanmente asociadas con LockBit:<\/span><\/div>\n<\/div>\n<\/div>\n<\/div>\n<p data-sourcepos=\"72:1-73:36\"><strong>Tabla 2: T\u00e1cticas, T\u00e9cnicas y Procedimientos (TTPs) Clave de los Afiliados de LockBit (Mapeo MITRE ATT&amp;CK)<\/strong> <em>Fuente principal para TTPs: <\/em><span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<div class=\"horizontal-scroll-wrapper\">\n<div class=\"table-block-component\">\n<div class=\"table-block has-export-button\">\n<div class=\"table-content not-end-of-paragraph\">\n<table data-sourcepos=\"75:1-95:152\">\n<tbody>\n<tr data-sourcepos=\"75:1-75:140\">\n<th data-sourcepos=\"75:1-75:25\">T\u00e1ctica ATT&amp;CK (ID)<\/th>\n<th data-sourcepos=\"75:27-75:51\">T\u00e9cnica ATT&amp;CK (ID)<\/th>\n<th data-sourcepos=\"75:53-75:92\">Descripci\u00f3n de la Actividad de LockBit<\/th>\n<th data-sourcepos=\"75:94-75:138\">Herramientas\/Software Com\u00fanmente Utilizados<\/th>\n<\/tr>\n<tr data-sourcepos=\"77:1-77:202\">\n<td data-sourcepos=\"77:1-77:25\">Acceso Inicial (TA0001)<\/td>\n<td data-sourcepos=\"77:27-77:72\">Explotaci\u00f3n de Aplicaciones P\u00fablicas (T1190)<\/td>\n<td data-sourcepos=\"77:74-77:171\">Explotaci\u00f3n de vulnerabilidades en software expuesto a internet (e.g., Citrix Bleed, Log4Shell).<\/td>\n<td data-sourcepos=\"77:173-77:200\">N\/A (Exploits espec\u00edficos)<\/td>\n<\/tr>\n<tr data-sourcepos=\"78:1-78:133\">\n<td data-sourcepos=\"78:1-78:25\">Acceso Inicial (TA0001)<\/td>\n<td data-sourcepos=\"78:27-78:62\">Servicios Remotos Externos (T1133)<\/td>\n<td data-sourcepos=\"78:64-78:119\">Explotaci\u00f3n de RDP con credenciales d\u00e9biles o robadas.<\/td>\n<td data-sourcepos=\"78:121-78:131\">N\/A (RDP)<\/td>\n<\/tr>\n<tr data-sourcepos=\"79:1-79:191\">\n<td data-sourcepos=\"79:1-79:25\">Acceso Inicial (TA0001)<\/td>\n<td data-sourcepos=\"79:27-79:44\">Phishing (T1566)<\/td>\n<td data-sourcepos=\"79:46-79:153\">Env\u00edo de correos electr\u00f3nicos maliciosos para enga\u00f1ar a los usuarios y obtener acceso o desplegar malware.<\/td>\n<td data-sourcepos=\"79:155-79:189\">N\/A (Infraestructura de Phishing)<\/td>\n<\/tr>\n<tr data-sourcepos=\"80:1-80:160\">\n<td data-sourcepos=\"80:1-80:20\">Ejecuci\u00f3n (TA0002)<\/td>\n<td data-sourcepos=\"80:22-80:90\">Int\u00e9rprete de Comandos y Scripts: Windows Command Shell (T1059.003)<\/td>\n<td data-sourcepos=\"80:92-80:148\">Uso de scripts batch para ejecutar comandos maliciosos.<\/td>\n<td data-sourcepos=\"80:150-80:158\">cmd.exe<\/td>\n<\/tr>\n<tr data-sourcepos=\"81:1-81:147\">\n<td data-sourcepos=\"81:1-81:20\">Ejecuci\u00f3n (TA0002)<\/td>\n<td data-sourcepos=\"81:22-81:69\">Herramientas de Despliegue de Software (T1072)<\/td>\n<td data-sourcepos=\"81:71-81:132\">Uso de herramientas como Chocolatey para desplegar software.<\/td>\n<td data-sourcepos=\"81:134-81:145\">Chocolatey<\/td>\n<\/tr>\n<tr data-sourcepos=\"82:1-82:201\">\n<td data-sourcepos=\"82:1-82:23\">Persistencia (TA0003)<\/td>\n<td data-sourcepos=\"82:25-82:72\">Arranque o Inicio de Sesi\u00f3n Autom\u00e1tico (T1547)<\/td>\n<td data-sourcepos=\"82:74-82:156\">Modificaci\u00f3n de configuraciones para asegurar la ejecuci\u00f3n del malware al inicio.<\/td>\n<td data-sourcepos=\"82:158-82:199\">Registros de Windows, Tareas Programadas<\/td>\n<\/tr>\n<tr data-sourcepos=\"83:1-83:180\">\n<td data-sourcepos=\"83:1-83:34\">Escalada de Privilegios (TA0004)<\/td>\n<td data-sourcepos=\"83:36-83:100\">Abuso del Mecanismo de Control de Elevaci\u00f3n: Bypass UAC (T1548)<\/td>\n<td data-sourcepos=\"83:102-83:170\">Uso de t\u00e9cnicas para eludir el Control de Cuentas de Usuario (UAC).<\/td>\n<td data-sourcepos=\"83:172-83:178\">UACMe<\/td>\n<\/tr>\n<tr data-sourcepos=\"84:1-84:277\">\n<td data-sourcepos=\"84:1-84:30\">Evasi\u00f3n de Defensas (TA0005)<\/td>\n<td data-sourcepos=\"84:32-84:95\">Deshabilitar o Modificar Herramientas de Seguridad (T1562.001)<\/td>\n<td data-sourcepos=\"84:97-84:180\">Uso de herramientas para desactivar EDR, antivirus y otros productos de seguridad.<\/td>\n<td data-sourcepos=\"84:182-84:275\">Backstab, Defender Control, GMER, PCHunter, PowerTool, Process Hacker, TDSSKiller, Bat Armor<\/td>\n<\/tr>\n<tr data-sourcepos=\"85:1-85:214\">\n<td data-sourcepos=\"85:1-85:30\">Evasi\u00f3n de Defensas (TA0005)<\/td>\n<td data-sourcepos=\"85:32-85:86\">Barandillas de Ejecuci\u00f3n: Clave Ambiental (T1480.001)<\/td>\n<td data-sourcepos=\"85:88-85:175\">LockBit 3.0 requiere una contrase\u00f1a para descifrar y ejecutar su componente principal.<\/td>\n<td data-sourcepos=\"85:177-85:212\">N\/A (Mecanismo interno de LockBit)<\/td>\n<\/tr>\n<tr data-sourcepos=\"86:1-86:216\">\n<td data-sourcepos=\"86:1-86:30\">Evasi\u00f3n de Defensas (TA0005)<\/td>\n<td data-sourcepos=\"86:32-86:111\">Eliminaci\u00f3n de Indicadores: Borrar Registros de Eventos de Windows (T1070.001)<\/td>\n<td data-sourcepos=\"86:113-86:181\">El ejecutable de LockBit borra los registros de eventos de Windows.<\/td>\n<td data-sourcepos=\"86:183-86:214\">N\/A (Funcionalidad de LockBit)<\/td>\n<\/tr>\n<tr data-sourcepos=\"87:1-87:177\">\n<td data-sourcepos=\"87:1-87:32\">Acceso a Credenciales (TA0006)<\/td>\n<td data-sourcepos=\"87:34-87:92\">Volcado de Credenciales del SO: Memoria LSASS (T1003.001)<\/td>\n<td data-sourcepos=\"87:94-87:154\">Extracci\u00f3n de credenciales de la memoria del proceso LSASS.<\/td>\n<td data-sourcepos=\"87:156-87:175\">Mimikatz, ProcDump<\/td>\n<\/tr>\n<tr data-sourcepos=\"88:1-88:213\">\n<td data-sourcepos=\"88:1-88:25\">Descubrimiento (TA0007)<\/td>\n<td data-sourcepos=\"88:27-88:70\">Descubrimiento de Servicios de Red (T1046)<\/td>\n<td data-sourcepos=\"88:72-88:137\">Escaneo de la red para identificar m\u00e1quinas y servicios activos.<\/td>\n<td data-sourcepos=\"88:139-88:211\">SoftPerfect Network Scanner, Advanced IP Scanner, Advanced Port Scanner<\/td>\n<\/tr>\n<tr data-sourcepos=\"89:1-89:166\">\n<td data-sourcepos=\"89:1-89:29\">Movimiento Lateral (TA0008)<\/td>\n<td data-sourcepos=\"89:31-89:93\">Servicios Remotos: Protocolo de Escritorio Remoto (T1021.001)<\/td>\n<td data-sourcepos=\"89:95-89:147\">Uso de RDP para moverse a otros sistemas en la red.<\/td>\n<td data-sourcepos=\"89:149-89:164\">Splashtop, RDP<\/td>\n<\/tr>\n<tr data-sourcepos=\"90:1-90:171\">\n<td data-sourcepos=\"90:1-90:29\">Movimiento Lateral (TA0008)<\/td>\n<td data-sourcepos=\"90:31-90:89\">Herramientas de Administraci\u00f3n Remota (T1021.002 \/ T1072)<\/td>\n<td data-sourcepos=\"90:91-90:145\">Uso de PsExec y SMB para ejecutar c\u00f3digo remotamente.<\/td>\n<td data-sourcepos=\"90:147-90:169\">PsExec, Cobalt Strike<\/td>\n<\/tr>\n<tr data-sourcepos=\"91:1-91:149\">\n<td data-sourcepos=\"91:1-91:22\">Recolecci\u00f3n (TA0009)<\/td>\n<td data-sourcepos=\"91:24-91:91\">Archivar Datos Recopilados: Archivar mediante Utilidad (T1560.001)<\/td>\n<td data-sourcepos=\"91:93-91:139\">Compresi\u00f3n de datos antes de la exfiltraci\u00f3n.<\/td>\n<td data-sourcepos=\"91:141-91:147\">7-Zip<\/td>\n<\/tr>\n<tr data-sourcepos=\"92:1-92:184\">\n<td data-sourcepos=\"92:1-92:28\">Comando y Control (TA0011)<\/td>\n<td data-sourcepos=\"92:30-92:64\">Software de Acceso Remoto (T1219)<\/td>\n<td data-sourcepos=\"92:66-92:134\">Uso de software leg\u00edtimo de acceso remoto para mantener el control.<\/td>\n<td data-sourcepos=\"92:136-92:182\">AnyDesk, Atera RMM, ScreenConnect, TeamViewer<\/td>\n<\/tr>\n<tr data-sourcepos=\"93:1-93:227\">\n<td data-sourcepos=\"93:1-93:23\">Exfiltraci\u00f3n (TA0010)<\/td>\n<td data-sourcepos=\"93:25-93:111\">Exfiltraci\u00f3n sobre Servicio Web: Exfiltraci\u00f3n a Almacenamiento en la Nube (T1567.002)<\/td>\n<td data-sourcepos=\"93:113-93:186\">Uso de herramientas y servicios para transferir datos robados a la nube.<\/td>\n<td data-sourcepos=\"93:188-93:225\">StealBit, rclone, MEGA, FreeFileSync<\/td>\n<\/tr>\n<tr data-sourcepos=\"94:1-94:153\">\n<td data-sourcepos=\"94:1-94:18\">Impacto (TA0040)<\/td>\n<td data-sourcepos=\"94:20-94:55\">Datos Cifrados por Impacto (T1486)<\/td>\n<td data-sourcepos=\"94:57-94:108\">Cifrado de archivos en los sistemas de la v\u00edctima.<\/td>\n<td data-sourcepos=\"94:110-94:151\">N\/A (Funcionalidad principal de LockBit)<\/td>\n<\/tr>\n<tr data-sourcepos=\"95:1-95:152\">\n<td data-sourcepos=\"95:1-95:18\">Impacto (TA0040)<\/td>\n<td data-sourcepos=\"95:20-95:64\">Inhibir la Recuperaci\u00f3n del Sistema (T1490)<\/td>\n<td data-sourcepos=\"95:66-95:135\">Eliminaci\u00f3n de Volume Shadow Copies para dificultar la restauraci\u00f3n.<\/td>\n<td data-sourcepos=\"95:137-95:150\">vssadmin.exe<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<p data-sourcepos=\"97:1-97:67\"><strong>Tabla 3: Vulnerabilidades Comunes (CVEs) Explotadas por LockBit<\/strong><\/p>\n<div class=\"horizontal-scroll-wrapper\">\n<table data-sourcepos=\"99:1-113:155\">\n<tbody>\n<tr data-sourcepos=\"99:1-99:124\">\n<th data-sourcepos=\"99:1-99:8\">CVE ID<\/th>\n<th data-sourcepos=\"99:10-99:43\">Descripci\u00f3n de la Vulnerabilidad<\/th>\n<th data-sourcepos=\"99:45-99:72\">Producto\/Software Afectado<\/th>\n<th data-sourcepos=\"99:74-99:112\">Impacto de la Explotaci\u00f3n por LockBit<\/th>\n<th data-sourcepos=\"99:114-99:122\">Fuentes<\/th>\n<\/tr>\n<tr data-sourcepos=\"101:1-101:251\">\n<td data-sourcepos=\"101:1-101:15\">CVE-2023-4966<\/td>\n<td data-sourcepos=\"101:17-101:112\">Citrix Bleed: Vulnerabilidad de divulgaci\u00f3n de informaci\u00f3n sensible en NetScaler ADC y Gateway<\/td>\n<td data-sourcepos=\"101:114-101:161\">Citrix NetScaler ADC, Citrix NetScaler Gateway<\/td>\n<td data-sourcepos=\"101:163-101:240\">Acceso inicial, bypass de MFA, secuestro de sesi\u00f3n, escalada de privilegios.<\/td>\n<td data-sourcepos=\"101:242-101:249\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"102:1-102:163\">\n<td data-sourcepos=\"102:1-102:16\">CVE-2021-44228<\/td>\n<td data-sourcepos=\"102:18-102:90\">Apache Log4j2: Vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo (Log4Shell)<\/td>\n<td data-sourcepos=\"102:92-102:106\">Apache Log4j2<\/td>\n<td data-sourcepos=\"102:108-102:152\">Acceso inicial, ejecuci\u00f3n remota de c\u00f3digo.<\/td>\n<td data-sourcepos=\"102:154-102:161\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"103:1-103:243\">\n<td data-sourcepos=\"103:1-103:16\">CVE-2023-27532<\/td>\n<td data-sourcepos=\"103:18-103:109\">Veeam Backup &amp; Replication: Vulnerabilidad que permite acceso a credenciales de backup<\/td>\n<td data-sourcepos=\"103:111-103:142\">Veeam Backup &amp; Replication<\/td>\n<td data-sourcepos=\"103:144-103:235\">Acceso a metadatos de backup y credenciales, compromiso de la infraestructura de respaldo.<\/td>\n<td data-sourcepos=\"103:237-103:241\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"104:1-104:150\">\n<td data-sourcepos=\"104:1-104:16\">CVE-2024-40711<\/td>\n<td data-sourcepos=\"104:18-104:81\">Veeam Backup &amp; Replication: Vulnerabilidad no especificada<\/td>\n<td data-sourcepos=\"104:83-104:114\">Veeam Backup &amp; Replication<\/td>\n<td data-sourcepos=\"104:116-104:142\">Similar a CVE-2023-27532.<\/td>\n<td data-sourcepos=\"104:144-104:148\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"105:1-105:164\">\n<td data-sourcepos=\"105:1-105:16\">CVE-2022-26500<\/td>\n<td data-sourcepos=\"105:18-105:95\">Veeam Backup &amp; Replication: Vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo<\/td>\n<td data-sourcepos=\"105:97-105:128\">Veeam Backup &amp; Replication<\/td>\n<td data-sourcepos=\"105:130-105:156\">Similar a CVE-2023-27532.<\/td>\n<td data-sourcepos=\"105:158-105:162\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"106:1-106:164\">\n<td data-sourcepos=\"106:1-106:16\">CVE-2022-26501<\/td>\n<td data-sourcepos=\"106:18-106:95\">Veeam Backup &amp; Replication: Vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo<\/td>\n<td data-sourcepos=\"106:97-106:128\">Veeam Backup &amp; Replication<\/td>\n<td data-sourcepos=\"106:130-106:156\">Similar a CVE-2023-27532.<\/td>\n<td data-sourcepos=\"106:158-106:162\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"107:1-107:193\">\n<td data-sourcepos=\"107:1-107:32\">No especificado (vCenter\/ESXi)<\/td>\n<td data-sourcepos=\"107:34-107:83\">Vulnerabilidades en VMware vCenter Server y ESXi<\/td>\n<td data-sourcepos=\"107:85-107:120\">VMware vCenter Server, VMware ESXi<\/td>\n<td data-sourcepos=\"107:122-107:185\">Cifrado de m\u00e1quinas virtuales completas a nivel de hipervisor.<\/td>\n<td data-sourcepos=\"107:187-107:191\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"108:1-108:178\">\n<td data-sourcepos=\"108:1-108:16\">CVE-2021-22986<\/td>\n<td data-sourcepos=\"108:18-108:98\">F5 BIG-IP\/BIG-IQ: Vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en iControl REST<\/td>\n<td data-sourcepos=\"108:100-108:121\">F5 BIG-IP, F5 BIG-IQ<\/td>\n<td data-sourcepos=\"108:123-108:167\">Acceso inicial, ejecuci\u00f3n remota de c\u00f3digo.<\/td>\n<td data-sourcepos=\"108:169-108:176\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"109:1-109:188\">\n<td data-sourcepos=\"109:1-109:15\">CVE-2020-1472<\/td>\n<td data-sourcepos=\"109:17-109:81\">NetLogon: Vulnerabilidad de escalada de privilegios (Zerologon)<\/td>\n<td data-sourcepos=\"109:83-109:135\">Microsoft Windows Server (NetLogon Remote Protocol)<\/td>\n<td data-sourcepos=\"109:137-109:177\">Escalada de privilegios a Domain Admin.<\/td>\n<td data-sourcepos=\"109:179-109:186\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"110:1-110:211\">\n<td data-sourcepos=\"110:1-110:15\">CVE-2019-0708<\/td>\n<td data-sourcepos=\"110:17-110:108\">Microsoft Remote Desktop Services: Vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo (BlueKeep)<\/td>\n<td data-sourcepos=\"110:110-110:154\">Microsoft Windows (Remote Desktop Services)<\/td>\n<td data-sourcepos=\"110:156-110:200\">Acceso inicial, ejecuci\u00f3n remota de c\u00f3digo.<\/td>\n<td data-sourcepos=\"110:202-110:209\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"111:1-111:151\">\n<td data-sourcepos=\"111:1-111:16\">CVE-2018-13379<\/td>\n<td data-sourcepos=\"111:18-111:77\">Fortinet FortiOS SSL VPN: Vulnerabilidad de path traversal<\/td>\n<td data-sourcepos=\"111:79-111:96\">Fortinet FortiOS<\/td>\n<td data-sourcepos=\"111:98-111:140\">Acceso inicial, robo de credenciales VPN.<\/td>\n<td data-sourcepos=\"111:142-111:149\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"112:1-112:184\">\n<td data-sourcepos=\"112:1-112:15\">CVE-2023-0669<\/td>\n<td data-sourcepos=\"112:17-112:85\">Fortra GoAnywhere MFT: Vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo<\/td>\n<td data-sourcepos=\"112:87-112:127\">Fortra GoAnywhere Managed File Transfer<\/td>\n<td data-sourcepos=\"112:129-112:173\">Acceso inicial, ejecuci\u00f3n remota de c\u00f3digo.<\/td>\n<td data-sourcepos=\"112:175-112:182\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"113:1-113:155\">\n<td data-sourcepos=\"113:1-113:16\">CVE-2023-27350<\/td>\n<td data-sourcepos=\"113:18-113:81\">PaperCut MF\/NG: Vulnerabilidad de control de acceso incorrecto<\/td>\n<td data-sourcepos=\"113:83-113:98\">PaperCut MF\/NG<\/td>\n<td data-sourcepos=\"113:100-113:144\">Acceso inicial, ejecuci\u00f3n remota de c\u00f3digo.<\/td>\n<td data-sourcepos=\"113:146-113:153\"><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<h2 data-sourcepos=\"115:1-115:100\">El Impacto Devastador de LockBit: Sectores Cr\u00edticos Bajo Asedio y Millones en P\u00e9rdidas<\/h2>\n<p data-sourcepos=\"117:1-117:309\">El impacto de las actividades de LockBit se ha sentido a escala global, con consecuencias financieras, operativas y reputacionales devastadoras para una multitud de organizaciones en diversos sectores. Las cifras asociadas a sus campa\u00f1as de extorsi\u00f3n pintan un cuadro alarmante de la magnitud de esta amenaza.<\/p>\n<h3 data-sourcepos=\"119:1-120:420\"><strong>Magnitud Financiera y Volumen de Ataques<\/strong><\/h3>\n<p data-sourcepos=\"119:1-120:420\">Desde enero de 2020, se estima que LockBit ha costado a las v\u00edctimas en los Estados Unidos unos $91 millones en pagos de rescate. A nivel mundial, las demandas de rescate acumuladas por el grupo ascienden a cientos de millones de d\u00f3lares.<\/p>\n<p data-sourcepos=\"119:1-120:420\">Un ejemplo de la audacia de sus demandas fue el rescate de $60 millones exigido a Pendragon PLC, una importante empresa de concesionarios de autom\u00f3viles del Reino Unido.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"122:1-122:1561\">En t\u00e9rminos de volumen, LockBit se posicion\u00f3 como la &#8220;principal amenaza global de ransomware&#8221; en 2023, siendo responsable del 22.22% de todos los ataques de ransomware detectados a nivel mundial durante ese a\u00f1o. Se le atribuyen m\u00e1s de 1,400 ataques contra v\u00edctimas en los Estados Unidos y en otras partes del mundo.<\/p>\n<p data-sourcepos=\"122:1-122:1561\">Adem\u00e1s, se ha informado que LockBit es responsable de una quinta parte de todos los incidentes de ransomware reportados en Australia, Canad\u00e1, Nueva Zelanda y Estados Unidos. Estas estad\u00edsticas, aunque impactantes, probablemente subestiman el costo real del ransomware.<\/p>\n<p data-sourcepos=\"122:1-122:1561\">Las cifras reportadas generalmente solo cubren los pagos de rescate directos y no suelen incluir los considerables costos asociados con la recuperaci\u00f3n de sistemas, el tiempo de inactividad operativa, la p\u00e9rdida de ingresos y oportunidades de negocio, el da\u00f1o reputacional, los honorarios legales y de consultor\u00eda, las posibles multas regulatorias o la inversi\u00f3n necesaria en mejoras de seguridad post-incidente.<\/p>\n<p data-sourcepos=\"122:1-122:1561\">El impacto econ\u00f3mico total de LockBit y grupos similares es, por lo tanto, significativamente mayor que las cifras de rescate que trascienden p\u00fablicamente; los rescates son solo la &#8220;punta del iceberg&#8221;, mientras que el cuerpo principal del da\u00f1o financiero y operativo permanece sumergido y es m\u00e1s dif\u00edcil de cuantificar con exactitud.<\/p>\n<p data-sourcepos=\"122:1-122:1561\">Las organizaciones deben, en consecuencia, considerar el costo total potencial de un ataque al evaluar sus inversiones en ciberseguridad, ya que la narrativa p\u00fablica puede no reflejar la verdadera magnitud del perjuicio.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<h3 data-sourcepos=\"124:1-125:860\"><strong>Ataques a Infraestructura Cr\u00edtica<\/strong><\/h3>\n<p data-sourcepos=\"124:1-125:860\">Una de las caracter\u00edsticas m\u00e1s preocupantes de LockBit es su persistente y predominante focalizaci\u00f3n en sectores de infraestructura cr\u00edtica. En 2023, fue identificado como la principal variante de ransomware dirigida contra la infraestructura cr\u00edtica de los Estados Unidos.<\/p>\n<figure id=\"attachment_6945\" aria-describedby=\"caption-attachment-6945\" style=\"width: 400px\" class=\"wp-caption alignleft\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/05\/2-e1747762806601.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-6945\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/05\/2-e1747762806601.jpg\" alt=\"Lockbit\" width=\"400\" height=\"400\" title=\"\"><\/a><figcaption id=\"caption-attachment-6945\" class=\"wp-caption-text\">Lockbit<\/figcaption><\/figure>\n<p data-sourcepos=\"124:1-125:860\">Los sectores afectados son variados y vitales para el funcionamiento de la sociedad, incluyendo servicios financieros, alimentaci\u00f3n y agricultura, educaci\u00f3n, energ\u00eda, gobierno y servicios de emergencia, sanidad, manufactura y transporte.<\/p>\n<p data-sourcepos=\"124:1-125:860\">El sector manufacturero, en particular, se convirti\u00f3 en un objetivo principal en 2023, experimentando un alarmante aumento del 50% en los ataques en comparaci\u00f3n con el a\u00f1o anterior , a menudo debido a defensas de ciberseguridad percibidas como m\u00e1s d\u00e9biles y al potencial de disrupci\u00f3n generalizada en las cadenas de suministro.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"127:1-127:956\">Este enfoque en la infraestructura cr\u00edtica no parece ser casual. Estos sectores son vitales para la econom\u00eda y el bienestar social; su interrupci\u00f3n puede tener consecuencias en cascada que van mucho m\u00e1s all\u00e1 de la organizaci\u00f3n v\u00edctima individual. Al atacar estos objetivos, LockBit no solo busca organizaciones con capacidad de pago, sino que tambi\u00e9n ejerce una inmensa presi\u00f3n al amenazar la provisi\u00f3n de servicios esenciales.<\/p>\n<p data-sourcepos=\"127:1-127:956\">La interrupci\u00f3n de servicios de salud, energ\u00eda, o cadenas de suministro de alimentos puede tener un impacto social y econ\u00f3mico severo, lo que, desde la perspectiva de los atacantes, podr\u00eda aumentar la probabilidad de que se pague el rescate para restaurar la normalidad lo antes posible.<\/p>\n<p data-sourcepos=\"127:1-127:956\">Estos ataques, por lo tanto, trascienden el \u00e1mbito del cibercrimen puramente financiero y se convierten en una amenaza tangible para la seguridad nacional y la estabilidad social, elevando la urgencia de proteger estos sectores vulnerables.<\/p>\n<p data-sourcepos=\"129:1-129:442\">Entre los casos notables que ilustran el alcance de LockBit se encuentra el ataque contra el servicio postal del Reino Unido, Royal Mail, en enero de 2023, que afect\u00f3 gravemente los sistemas utilizados para el env\u00edo de paqueter\u00eda internacional.<\/p>\n<p data-sourcepos=\"129:1-129:442\">Otro ejemplo es el compromiso de Boeing Distribution Inc., una subsidiaria de Boeing, donde los afiliados de LockBit 3.0 explotaron la vulnerabilidad Citrix Bleed para obtener acceso inicial.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"131:1-131:273\">M\u00e1s all\u00e1 de las p\u00e9rdidas financieras directas, los ataques de LockBit infligen un da\u00f1o operativo considerable, paralizando las actividades comerciales durante d\u00edas o semanas, y un severo da\u00f1o reputacional que puede erosionar la confianza de clientes y socios a largo plazo.<\/p>\n<p data-sourcepos=\"133:1-133:65\"><strong>Tabla 4: Impacto Cuantificable de LockBit: Estad\u00edsticas Clave<\/strong><\/p>\n<div class=\"horizontal-scroll-wrapper\">\n<table data-sourcepos=\"135:1-144:195\">\n<tbody>\n<tr data-sourcepos=\"135:1-135:36\">\n<th data-sourcepos=\"135:1-135:9\">M\u00e9trica<\/th>\n<th data-sourcepos=\"135:11-135:22\">Cifra\/Dato<\/th>\n<th data-sourcepos=\"135:24-135:34\">Fuente(s)<\/th>\n<\/tr>\n<tr data-sourcepos=\"137:1-137:89\">\n<td data-sourcepos=\"137:1-137:63\">Costo estimado en pagos de rescate en EEUU (desde enero 2020)<\/td>\n<td data-sourcepos=\"137:65-137:78\">$91 millones<\/td>\n<td data-sourcepos=\"137:80-137:87\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"138:1-138:89\">\n<td data-sourcepos=\"138:1-138:48\">Demandas de rescate acumuladas a nivel mundial<\/td>\n<td data-sourcepos=\"138:50-138:81\">Cientos de millones de d\u00f3lares<\/td>\n<td data-sourcepos=\"138:83-138:87\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"139:1-139:88\">\n<td data-sourcepos=\"139:1-139:71\">Porcentaje de ataques de ransomware detectados a nivel mundial (2023)<\/td>\n<td data-sourcepos=\"139:73-139:80\">22.22%<\/td>\n<td data-sourcepos=\"139:82-139:86\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"140:1-140:80\">\n<td data-sourcepos=\"140:1-140:57\">N\u00famero de ataques contra v\u00edctimas en EEUU y globalmente<\/td>\n<td data-sourcepos=\"140:59-140:72\">M\u00e1s de 1,400<\/td>\n<td data-sourcepos=\"140:74-140:78\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"141:1-141:113\">\n<td data-sourcepos=\"141:1-141:80\">Proporci\u00f3n de ataques de ransomware en Australia, Canad\u00e1, Nueva Zelanda y EEUU<\/td>\n<td data-sourcepos=\"141:82-141:105\">Una quinta parte (20%)<\/td>\n<td data-sourcepos=\"141:107-141:111\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"142:1-142:98\">\n<td data-sourcepos=\"142:1-142:80\">Principal variante de ransomware contra infraestructura cr\u00edtica de EEUU (2023)<\/td>\n<td data-sourcepos=\"142:82-142:90\">LockBit<\/td>\n<td data-sourcepos=\"142:92-142:96\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"143:1-143:73\">\n<td data-sourcepos=\"143:1-143:59\">Aumento de ataques al sector manufacturero (2023 vs 2022)<\/td>\n<td data-sourcepos=\"143:61-143:65\">50%<\/td>\n<td data-sourcepos=\"143:67-143:71\"><\/td>\n<\/tr>\n<tr data-sourcepos=\"144:1-144:195\">\n<td data-sourcepos=\"144:1-144:47\">Sectores de infraestructura cr\u00edtica afectados<\/td>\n<td data-sourcepos=\"144:49-144:184\">Servicios financieros, alimentos y agricultura, educaci\u00f3n, energ\u00eda, gobierno y servicios de emergencia, salud, manufactura, transporte<\/td>\n<td data-sourcepos=\"144:186-144:193\"><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p><span class=\"button-container hide-from-message-actions ng-star-inserted\"> \u00a0 <\/span><span class=\"button-container hide-from-message-actions ng-star-inserted\"><span style=\"font-size: 1.7em; font-weight: bold;\">Operaci\u00f3n Cronos y la Respuesta Internacional: \u00bfUn Golpe Decisivo o un Respiro Temporal?<\/span><\/span><\/p>\n<p data-sourcepos=\"148:1-148:419\">Ante la creciente amenaza representada por LockBit, la comunidad internacional de agencias de aplicaci\u00f3n de la ley coordin\u00f3 una respuesta significativa.<\/p>\n<p data-sourcepos=\"148:1-148:419\">En febrero de 2024, se anunci\u00f3 la &#8220;Operaci\u00f3n Cronos&#8221;, una acci\u00f3n conjunta que involucr\u00f3 a 10 pa\u00edses centrales y la participaci\u00f3n de otros cuatro , y que result\u00f3 en la incautaci\u00f3n y desmantelamiento de una parte considerable de la infraestructura de LockBit.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<h3 data-sourcepos=\"150:1-151:474\"><strong>Logros y Consecuencias de la Operaci\u00f3n Cronos<\/strong><\/h3>\n<p data-sourcepos=\"150:1-151:474\">La operaci\u00f3n logr\u00f3 tomar el control de varios sitios web p\u00fablicos utilizados por LockBit para filtrar datos de sus v\u00edctimas y para la comunicaci\u00f3n con afiliados.<\/p>\n<p data-sourcepos=\"150:1-151:474\">Se inform\u00f3 del cierre de aproximadamente 14,000 cuentas fraudulentas asociadas con la infraestructura del grupo. Adem\u00e1s, se llevaron a cabo dos arrestos de presuntos miembros o afiliados de LockBit en Polonia y Ucrania, y se incautaron 34 servidores que eran cruciales para las operaciones del grupo.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"153:1-153:522\">Un resultado particularmente importante de la Operaci\u00f3n Cronos fue la identificaci\u00f3n de 194 afiliados que utilizaban el ransomware de LockBit, de los cuales se determin\u00f3 que 119 ya hab\u00edan desplegado ataques.<\/p>\n<p data-sourcepos=\"153:1-153:522\">Quiz\u00e1s el beneficio m\u00e1s tangible para las v\u00edctimas fue la recuperaci\u00f3n de un gran n\u00famero de claves de descifrado.<\/p>\n<p data-sourcepos=\"153:1-153:522\">Estas claves ofrecieron una v\u00eda de recuperaci\u00f3n para m\u00e1s de 2,000 v\u00edctimas en todo el mundo que hab\u00edan sido afectadas por las demandas de LockBit , aliviando potencialmente p\u00e9rdidas millonarias.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"155:1-155:675\">En el \u00e1mbito judicial, se produjeron imputaciones contra individuos presuntamente vinculados a LockBit, como Ivan Kondratyev y Artur Sungatov, acusados de conspirar para cometer ataques de ransomware utilizando la plataforma de LockBit.<\/p>\n<p data-sourcepos=\"155:1-155:675\">Adem\u00e1s, el FBI ofreci\u00f3 una recompensa de hasta $10 millones por informaci\u00f3n que conduzca a la captura de Dmitry Khoroshev, tambi\u00e9n conocido por su alias &#8220;LockBitSupp&#8221;, considerado una figura clave en la administraci\u00f3n del grupo.<\/p>\n<p data-sourcepos=\"155:1-155:675\">Estas acciones buscaron enviar un mensaje contundente: las actividades cibercriminales, aunque se realicen bajo un velo de anonimato, dejan un rastro digital y conllevan consecuencias legales severas.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<h3 data-sourcepos=\"157:1-158:479\"><strong>Debate sobre la Efectividad y la Persistencia de la Amenaza<\/strong><\/h3>\n<p data-sourcepos=\"157:1-158:479\">A pesar de que la Operaci\u00f3n Cronos fue descrita como un &#8220;golpe sustancial&#8221; a LockBit , y sin duda represent\u00f3 una victoria significativa para las fuerzas del orden, el debate sobre su efectividad a largo plazo y la persistencia de la amenaza contin\u00faa. Muchos afiliados de LockBit, que son los ejecutores directos de los ataques, permanecen en libertad y dispersos geogr\u00e1ficamente. Esta descentralizaci\u00f3n inherente al modelo RaaS complica los esfuerzos de erradicaci\u00f3n total.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"160:1-160:1216\">De hecho, en mayo de 2024, apenas unos meses despu\u00e9s de la operaci\u00f3n, LockBit (o entidades que afirmaban representarlo) proclam\u00f3 haber incrementado su volumen de ataques, intentando posicionarse nuevamente como la banda de ransomware m\u00e1s activa a nivel global. Este intento de resurgimiento podr\u00eda interpretarse como un esfuerzo por mantener el valor de la &#8220;marca&#8221; LockBit y la confianza de los afiliados, as\u00ed como para seguir infundiendo temor en las v\u00edctimas potenciales.<\/p>\n<p data-sourcepos=\"160:1-160:1216\">En el mundo del cibercrimen, una &#8220;marca&#8221; como LockBit conlleva una reputaci\u00f3n de efectividad y, parad\u00f3jicamente, de &#8220;servicio al cliente&#8221; en t\u00e9rminos de proporcionar descifradores si se paga el rescate.<\/p>\n<p data-sourcepos=\"160:1-160:1216\">Incluso si la operaci\u00f3n central fue severamente da\u00f1ada, la marca podr\u00eda ser explotada por facciones restantes o por imitadores, especialmente considerando que el constructor de LockBit 3.0 fue filtrado previamente , lo que significa que el malware en s\u00ed puede seguir apareciendo independientemente del grupo original.<\/p>\n<p data-sourcepos=\"160:1-160:1216\">Por ello, las operaciones de desmantelamiento tambi\u00e9n deben ir acompa\u00f1adas de campa\u00f1as de informaci\u00f3n para desacreditar la &#8220;marca&#8221; del grupo y advertir sobre la posible persistencia de amenazas bajo el mismo nombre.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"162:1-162:1022\">Adem\u00e1s, el ecosistema del ransomware es din\u00e1mico y resiliente. Informes posteriores a la disrupci\u00f3n de LockBit sugirieron que otros grupos, como RansomHub, podr\u00edan haber aprovechado el vac\u00edo para ganar prominencia y tomar la corona como el actor de ransomware m\u00e1s activo.<\/p>\n<p data-sourcepos=\"162:1-162:1022\">Esto ilustra c\u00f3mo las operaciones de takedown, aunque cruciales para la disrupci\u00f3n a corto y medio plazo, la recopilaci\u00f3n de inteligencia, la ayuda a las v\u00edctimas y como elemento disuasorio, dif\u00edcilmente logran una erradicaci\u00f3n definitiva en un ecosistema RaaS maduro.<\/p>\n<p data-sourcepos=\"162:1-162:1022\">El &#8220;negocio&#8221; del ransomware puede simplemente reconfigurarse bajo nuevas marcas o con nuevos l\u00edderes.<\/p>\n<p data-sourcepos=\"162:1-162:1022\">La lucha contra el ransomware RaaS requiere, por tanto, un esfuerzo sostenido y multifac\u00e9tico que vaya m\u00e1s all\u00e1 de los takedowns puntuales, enfoc\u00e1ndose en fortalecer las defensas globales, interrumpir los flujos financieros il\u00edcitos (especialmente en criptomonedas), fomentar la cooperaci\u00f3n internacional continua y adaptarse a la naturaleza fluida de estos grupos criminales.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<h2 data-sourcepos=\"164:1-164:118\">Fortificando las Defensas: Estrategias Proactivas y Reactivas Frente a la Amenaza Persistente de LockBit<\/h2>\n<p data-sourcepos=\"166:1-166:414\">La persistencia de LockBit y la naturaleza evolutiva del ransomware en general subrayan la necesidad imperativa de que las organizaciones adopten un enfoque robusto y multifac\u00e9tico para la ciberseguridad. Las recomendaciones de agencias como la Agencia de Seguridad de Ciberseguridad e Infraestructura de EEUU (CISA) y sus socios internacionales proporcionan una hoja de ruta esencial para fortificar las defensas.<\/p>\n<p data-sourcepos=\"168:1-169:269\"><strong>Recomendaciones Generales de CISA y Socios<\/strong> CISA, junto con el FBI, el MS-ISAC y socios internacionales, ha publicado diversos avisos de ciberseguridad (CSAs) destinados a ayudar a las organizaciones a comprender y defenderse contra actores de amenazas que utilizan LockBit. Las recomendaciones clave incluyen:<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<ul data-sourcepos=\"170:1-173:0\">\n<li data-sourcepos=\"170:1-170:290\"><strong>Priorizar la remediaci\u00f3n de vulnerabilidades conocidas y explotadas<\/strong>: Es fundamental aplicar parches y actualizaciones de seguridad de manera oportuna, especialmente para aquellas vulnerabilidades que se sabe son activamente explotadas por LockBit y otros grupos de ransomware.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span>\n<div class=\"container ng-tns-c2116206256-68 hide\">\n<div class=\"carousel-container ng-tns-c2116206256-68\"><\/div>\n<\/div>\n<\/li>\n<li data-sourcepos=\"171:1-171:184\"><strong>Capacitar a los usuarios<\/strong>: Entrenar al personal para reconocer e informar sobre intentos de phishing y otras t\u00e1cticas de ingenier\u00eda social es una l\u00ednea de defensa crucial.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span>\n<div class=\"container ng-tns-c2116206256-69 hide\">\n<div class=\"carousel-container ng-tns-c2116206256-69\"><\/div>\n<\/div>\n<\/li>\n<li data-sourcepos=\"172:1-173:0\"><strong>Habilitar y hacer cumplir la autenticaci\u00f3n multifactor (MFA) resistente al phishing<\/strong>: La MFA a\u00f1ade una capa cr\u00edtica de seguridad, especialmente para el acceso a cuentas privilegiadas y servicios expuestos a internet.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span>\n<div class=\"container ng-tns-c2116206256-70 hide\">\n<div class=\"carousel-container ng-tns-c2116206256-70\"><\/div>\n<\/div>\n<\/li>\n<\/ul>\n<p data-sourcepos=\"174:1-175:317\"><strong>Mitigaciones Espec\u00edficas Detalladas en el CSA AA23-165A<\/strong> El aviso AA23-165A, referenciado en la documentaci\u00f3n de CISA , ofrece un conjunto exhaustivo de mitigaciones t\u00e9cnicas y de procedimiento, alineadas con los Objetivos de Rendimiento de Ciberseguridad (CPGs) desarrollados por CISA y el NIST. Estas se pueden agrupar seg\u00fan la fase del ataque que buscan contrarrestar:<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><strong>Mitigaciones de Acceso Inicial<\/strong>: Incluyen el uso de navegadores en <em>sandbox<\/em>, la implementaci\u00f3n de pol\u00edticas de contrase\u00f1as robustas (siguiendo est\u00e1ndares como los del NIST), el uso de filtros en las pasarelas de correo electr\u00f3nico para bloquear correos maliciosos, la instalaci\u00f3n de Firewalls de Aplicaciones Web (WAF).<\/p>\n<p>La segmentaci\u00f3n de la red para limitar la propagaci\u00f3n de malware, la aplicaci\u00f3n del principio de m\u00ednimo privilegio, una gesti\u00f3n rigurosa de las cuentas administrativas (incluyendo acceso Just-in-Time &#8211; JIT), el parcheo oportuno de sistemas y software (especialmente los que figuran en el cat\u00e1logo de <strong>Vulnerabilidades Explotadas Conocidas<\/strong> &#8211; KEV de CISA y las aplicaciones p\u00fablicas).<\/p>\n<p>La restricci\u00f3n del acceso de cuentas de servicio, el bloqueo del acceso directo a internet para interfaces de administraci\u00f3n, la implementaci\u00f3n universal de MFA, la consolidaci\u00f3n y monitorizaci\u00f3n de las pasarelas de internet, el uso de software antivirus actualizado con detecci\u00f3n en tiempo real.<\/p>\n<p>La creaci\u00f3n de banners de advertencia para correos electr\u00f3nicos externos, la revisi\u00f3n peri\u00f3dica de los servicios expuestos a internet y de las cuentas de usuario (especialmente las no reconocidas), y el fortalecimiento de la seguridad de Active Directory.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><strong>Mitigaciones de Ejecuci\u00f3n<\/strong>: Implican el desarrollo y mantenimiento de diagramas de red actualizados, el control estricto de las conexiones de red basado en una matriz de flujo, la habilitaci\u00f3n de un registro mejorado de PowerShell (incluyendo m\u00f3dulos, bloques de script y transcripciones, con retenci\u00f3n adecuada) y la configuraci\u00f3n del Registro de Windows para requerir la aprobaci\u00f3n del UAC para operaciones de PsExec que necesiten privilegios de administrador.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><strong>Mitigaciones de Escalada de Privilegios<\/strong>: Se recomienda deshabilitar las actividades y permisos de l\u00ednea de comandos y scripting innecesarios, habilitar Credential Guard para proteger las credenciales del sistema Windows y utilizar la Soluci\u00f3n de Contrase\u00f1a de Administrador Local (LAPS) donde sea aplicable.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><strong>Mitigaciones de Evasi\u00f3n de Defensas<\/strong>: Es crucial aplicar pol\u00edticas locales de seguridad para controlar la ejecuci\u00f3n de aplicaciones (mediante Software Restriction Policies &#8211; SRP, AppLocker o Windows Defender Application Control &#8211; WDAC) y establecer una lista blanca de aplicaciones permitidas.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><strong>Mitigaciones de Acceso a Credenciales<\/strong>: Se debe restringir el uso de NTLM mediante pol\u00edticas de seguridad y firewalls.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><strong>Mitigaciones de Descubrimiento<\/strong>: Deshabilitar todos los puertos que no sean estrictamente necesarios para fines comerciales (por ejemplo, el puerto TCP 3389 para RDP si no se utiliza).<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><strong>Mitigaciones de Movimiento Lateral<\/strong>: Identificar y eliminar las rutas de control cr\u00edticas de Active Directory, y utilizar herramientas de monitorizaci\u00f3n de red y EDR para detectar e investigar actividad an\u00f3mala y posible movimiento lateral de ransomware.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><strong>Mitigaciones de Comando y Control (C2)<\/strong>: Implementar un modelo de <em>tiering<\/em> para crear zonas de confianza para los activos m\u00e1s sensibles y considerar que el acceso VPN no debe ser tratado como una zona de red inherentemente confiable, movi\u00e9ndose hacia arquitecturas de Confianza Cero (Zero Trust).<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><strong>Mitigaciones de Exfiltraci\u00f3n<\/strong>: Bloquear conexiones a sistemas maliciosos conocidos utilizando un Proxy TLS y emplear filtrado web o un Agente de Seguridad de Acceso a la Nube (CASB) para restringir o monitorizar el acceso a servicios p\u00fablicos de compartici\u00f3n de archivos.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><strong>Mitigaciones de Impacto<\/strong>: Implementar un plan de recuperaci\u00f3n robusto que incluya el mantenimiento y la retenci\u00f3n de m\u00faltiples copias de datos sensibles y servidores en una ubicaci\u00f3n f\u00edsicamente separada, segmentada y segura (por ejemplo, discos duros externos, dispositivos de almacenamiento dedicados, o la nube).<\/p>\n<p>Es vital mantener copias de seguridad <em>offline<\/em> (desconectadas de la red principal), asegurarse de que estas copias sean inmutables (no puedan ser alteradas o eliminadas por el malware) y est\u00e9n cifradas, y realizar pruebas de restauraci\u00f3n de forma regular (estrategia 3-2-1: tres copias, en dos medios diferentes, una de ellas off-site).<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<div class=\"container ng-tns-c2116206256-81 hide\">\n<div class=\"carousel-container ng-tns-c2116206256-81\"><\/div>\n<\/div>\n<p data-sourcepos=\"188:1-188:981\">La implementaci\u00f3n de estas medidas no debe verse como una serie de controles aislados, sino como un ecosistema interdependiente de defensa en profundidad. Ninguna medida de seguridad es infalible por s\u00ed sola; la fortaleza de la defensa radica en la interconexi\u00f3n y el refuerzo mutuo de m\u00faltiples controles.<\/p>\n<p data-sourcepos=\"188:1-188:981\">Las organizaciones que se centran en unos pocos controles &#8220;estrella&#8221; mientras descuidan otros aspectos fundamentales (como la higiene b\u00e1sica de contrase\u00f1as o las copias de seguridad desconectadas) siguen siendo altamente vulnerables.<\/p>\n<p data-sourcepos=\"188:1-188:981\">LockBit, con su amplio repertorio de TTPs , est\u00e1 dise\u00f1ado precisamente para encontrar y explotar el eslab\u00f3n m\u00e1s d\u00e9bil en la cadena de defensa. Por ello, la ciberseguridad exige un enfoque hol\u00edstico y continuo, donde la validaci\u00f3n peri\u00f3dica de los controles de seguridad contra marcos como MITRE ATT&amp;CK es esencial para identificar brechas y asegurar que los diferentes controles interact\u00faan eficazmente para detener un ataque.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"190:1-191:658\"><strong>Importancia de la Gesti\u00f3n de Vulnerabilidades<\/strong> La gesti\u00f3n proactiva de vulnerabilidades es una piedra angular de la defensa contra LockBit.<\/p>\n<p data-sourcepos=\"190:1-191:658\">Se debe dar prioridad absoluta al parcheo de las CVEs que se sabe son explotadas por el grupo , como las que afectan a productos de Veeam, VMware vCenter\/ESXi , y la ya mencionada Citrix Bleed.<\/p>\n<p data-sourcepos=\"190:1-191:658\">En este contexto, la colaboraci\u00f3n p\u00fablico-privada, ejemplificada por la acci\u00f3n de Boeing al compartir IOCs y TTPs observadas durante el incidente de Citrix Bleed con las agencias gubernamentales , es crucial para diseminar r\u00e1pidamente la inteligencia sobre amenazas y permitir una respuesta m\u00e1s \u00e1gil por parte de otras organizaciones potencialmente afectadas.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"193:1-194:430\"><strong>Respuesta a Incidentes<\/strong> En el desafortunado caso de que se sospeche un ataque de LockBit, la rapidez y la metodolog\u00eda de la respuesta son cr\u00edticas. Se recomienda desconectar inmediatamente los sistemas afectados de la red para prevenir una mayor propagaci\u00f3n, contactar sin demora a profesionales de ciberseguridad para evaluar y mitigar el da\u00f1o, y notificar a las agencias de aplicaci\u00f3n de la ley para ayudar en el rastreo y combate de estas amenazas.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"196:1-196:1306\">Una de las decisiones m\u00e1s dif\u00edciles que enfrentan las v\u00edctimas es si pagar o no el rescate. Las autoridades y expertos generalmente desaconsejan el pago , ya que no existe garant\u00eda de que se recuperar\u00e1n los datos, y el pago financia directamente las actividades criminales y perpet\u00faa el ciclo del ransomware.<\/p>\n<p data-sourcepos=\"196:1-196:1306\">Antes de considerar el pago, se deben explorar todas las alternativas, como la consulta con expertos en recuperaci\u00f3n de datos y la b\u00fasqueda de herramientas de descifrado que puedan estar disponibles a trav\u00e9s de iniciativas de la industria o de las fuerzas del orden (como las claves recuperadas en la Operaci\u00f3n Cronos ).<\/p>\n<p data-sourcepos=\"196:1-196:1306\">La decisi\u00f3n de pagar se encuentra en un delicado equilibrio entre la supervivencia empresarial inmediata y las consecuencias \u00e9ticas y a largo plazo. Si una organizaci\u00f3n carece de copias de seguridad viables o se enfrenta a una interrupci\u00f3n catastr\u00f3fica, especialmente en el caso de infraestructuras cr\u00edticas, el pago puede parecer la \u00fanica opci\u00f3n para la supervivencia a corto plazo, a pesar de los riesgos.<\/p>\n<p data-sourcepos=\"196:1-196:1306\">Esta tensi\u00f3n inherente subraya que la mejor estrategia es evitar llegar a este punto mediante una inversi\u00f3n decidida en prevenci\u00f3n y, fundamentalmente, en capacidades de recuperaci\u00f3n robustas y probadas, como las copias de seguridad <em>offline<\/em> e inmutables.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<div class=\"container ng-tns-c2116206256-85 hide\">\n<div class=\"carousel-container ng-tns-c2116206256-85\">\n<div class=\"carousel-content ng-tns-c2116206256-85\"><\/div>\n<\/div>\n<\/div>\n<h2 data-sourcepos=\"198:1-198:98\">El Legado de LockBit y las Lecciones para un Ciberespacio m\u00e1s Resiliente<\/h2>\n<p data-sourcepos=\"200:1-200:586\">LockBit ha dejado una marca indeleble en el panorama de la ciberdelincuencia, consolid\u00e1ndose como una fuerza dominante y notablemente adaptable, impulsada fundamentalmente por su exitoso modelo de Ransomware-as-a-Service y una incesante b\u00fasqueda de innovaci\u00f3n en sus t\u00e1cticas y herramientas. Su capacidad para infligir un da\u00f1o financiero y operativo masivo, especialmente contra infraestructuras cr\u00edticas , y su persistencia frente a los esfuerzos internacionales de mitigaci\u00f3n, lo han convertido en un caso de estudio sobre la naturaleza de las amenazas cibern\u00e9ticas modernas.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"202:1-202:1556\">A pesar de los \u00e9xitos significativos de las fuerzas del orden, como la Operaci\u00f3n Cronos , que logr\u00f3 desmantelar una parte importante de su infraestructura y ayudar a numerosas v\u00edctimas, la amenaza del ransomware, ya sea proveniente de remanentes de LockBit, de sus imitadores, o de nuevos grupos emergentes, persiste y contin\u00faa evolucionando.<\/p>\n<p data-sourcepos=\"202:1-202:1556\">La aparici\u00f3n de actores como RansomHub, que seg\u00fan algunos an\u00e1lisis gan\u00f3 prominencia tras la disrupci\u00f3n de LockBit , es un claro ejemplo de la fluidez y resiliencia del ecosistema cibercriminal. Este fen\u00f3meno, a menudo comparado con el &#8220;efecto Hidra&#8221; \u2014donde cortar una cabeza puede llevar a que surjan otras\u2014, se ve exacerbado por el modelo RaaS.<\/p>\n<p data-sourcepos=\"202:1-202:1556\">Dicho modelo crea un entorno donde las herramientas, las TTPs e incluso los operadores pueden migrar o reagruparse bajo nuevas &#8220;marcas&#8221; si una operaci\u00f3n principal es desmantelada.<\/p>\n<p data-sourcepos=\"202:1-202:1556\">La filtraci\u00f3n previa del constructor de LockBit 3.0 facilita a\u00fan m\u00e1s esta reconstituci\u00f3n o la aparici\u00f3n de nuevos actores utilizando tecnolog\u00eda probada. Por lo tanto, desmantelar un grupo espec\u00edfico de RaaS, aunque importante, no resuelve el problema subyacente del ecosistema RaaS en su conjunto.<\/p>\n<p data-sourcepos=\"202:1-202:1556\">La estrategia a largo plazo debe centrarse en desmantelar este ecosistema, interrumpiendo los flujos financieros (especialmente el uso de criptomonedas para el lavado de dinero), dificultando el anonimato de los operadores, aumentando el costo y el riesgo de participar como afiliado, y promoviendo una ciberseguridad global robusta para reducir el n\u00famero de v\u00edctimas f\u00e1ciles.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"204:1-204:799\">El legado de LockBit subraya la importancia cr\u00edtica de la ciberhigiene fundamental, la gesti\u00f3n proactiva y continua de vulnerabilidades, una preparaci\u00f3n exhaustiva para la respuesta a incidentes y una colaboraci\u00f3n estrecha y \u00e1gil entre el sector p\u00fablico y el privado.<\/p>\n<p data-sourcepos=\"204:1-204:799\">La naturaleza de la ciberguerra es inherentemente asim\u00e9trica; grupos como LockBit, con recursos relativamente limitados en comparaci\u00f3n con los estados-naci\u00f3n o las grandes corporaciones que atacan, pueden causar un da\u00f1o desproporcionado. El panorama se complica a\u00fan m\u00e1s por el hecho de que el tiempo promedio para preparar e iniciar un ataque de ransomware ha disminuido dr\u00e1sticamente, de m\u00e1s de 60 d\u00edas en 2019 a solo 3.84 d\u00edas en 2024 , lo que indica que el desaf\u00edo es creciente y requiere respuestas m\u00e1s r\u00e1pidas y eficientes.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p data-sourcepos=\"206:1-206:1094\">En \u00faltima instancia, la saga de LockBit sirve como un poderoso recordatorio de que la ciberseguridad ya no puede ser considerada un gasto discrecional o un mero ejercicio de cumplimiento normativo.<\/p>\n<p data-sourcepos=\"206:1-206:1094\">En el entorno de amenazas actual, donde actores como LockBit han demostrado su capacidad de adaptaci\u00f3n y persistencia , la ciberseguridad es un imperativo estrat\u00e9gico continuo y un componente esencial de la estrategia empresarial, la gesti\u00f3n de riesgos y la resiliencia organizacional.<\/p>\n<p data-sourcepos=\"206:1-206:1094\">Las organizaciones deben integrar la ciberseguridad en su ADN, desde la alta direcci\u00f3n hasta cada empleado.<\/p>\n<p data-sourcepos=\"206:1-206:1094\">Esto implica una inversi\u00f3n sostenida en tecnolog\u00eda y talento, el fomento de una cultura de seguridad robusta, la adaptaci\u00f3n constante a las nuevas amenazas y una planificaci\u00f3n rigurosa para la continuidad del negocio y la recuperaci\u00f3n ante desastres. Solo a trav\u00e9s de una vigilancia constante y una adaptaci\u00f3n proactiva por parte de individuos, organizaciones y gobiernos se podr\u00e1 aspirar a construir un ciberespacio m\u00e1s seguro y resiliente frente a estas amenazas persistentes y camale\u00f3nicas.<\/p>\n<h5 data-sourcepos=\"206:1-206:1094\">Por Marcelo Lozano &#8211; General Publisher IT CONNECT LATAM<\/h5>\n<h6 data-sourcepos=\"206:1-206:1094\">Lea m\u00e1s sobre ciberseguridad en:<\/h6>\n<p data-sourcepos=\"206:1-206:1094\"><a href=\"https:\/\/itconnect.lat\/portal\/spyware-spyware-eficaz-001\/\">Spyware eficaz 2025&#x1f575;&#xfe0f;: \u00bfEl Open Source puede dar seguridad?<\/a><\/p>\n<p data-sourcepos=\"206:1-206:1094\"><a href=\"https:\/\/itconnect.lat\/portal\/apagon-00001\/\">Apag\u00f3n en Espa\u00f1a 2025: aut\u00e9ntico papel\u00f3n<\/a><\/p>\n<p data-sourcepos=\"206:1-206:1094\"><a href=\"https:\/\/itconnect.lat\/portal\/seguridad-publicitaria-2025\/\">Seguridad Publicitaria: GOOGLE propone seguridad exhaustiva en 2025<\/a><\/p>\n<p data-sourcepos=\"206:1-206:1094\"><a href=\"https:\/\/itconnect.lat\/portal\/ia-enemiga-2025\/\">IA Enemiga 2025: \u00bfTu Ciber Seguridad est\u00e1 a la altura?<\/a><\/p>\n<p data-sourcepos=\"206:1-206:1094\"><a href=\"https:\/\/itconnect.lat\/portal\/ciberseguridad-en-argentina-00001\/\">Ciberseguridad en Argentina: estudio gratuito en 2025<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>LockBit: Radiograf\u00eda de un Gigante del Ransomware y la Ciberguerra Asim\u00e9trica &#x1f608;LockBit en el Epicentro de la Ciberdelincuencia Global El panorama de la ciberseguridad global se ha visto recurrentemente amenazado por actores maliciosos de creciente sofisticaci\u00f3n. Entre ellos, el grupo de ransomware LockBit emergi\u00f3 en 2019 para convertirse r\u00e1pidamente en uno de los nombres m\u00e1s [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":6946,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[58],"tags":[4165,1646],"class_list":["post-6942","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-ciberguerra-asimetrica","tag-lockbit"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/6942","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/comments?post=6942"}],"version-history":[{"count":5,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/6942\/revisions"}],"predecessor-version":[{"id":6952,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/6942\/revisions\/6952"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media\/6946"}],"wp:attachment":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media?parent=6942"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/categories?post=6942"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/tags?post=6942"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}