Una operación de ransomware llamada The Gentlemen fue detectada tras acceder a su servidor de comando y control. El grupo ya afectó a más de 320 organizaciones desde mediados de 2025, con fuerte presencia en Estados Unidos, Reino Unido y Alemania.
Buenos Aires, 23 de abril (NA) – Una investigación de la Agencia Noticias Argentinas reveló el descubrimiento de un servidor de comando y control en vivo vinculado a una filial de la organización de ransomware conocida como The Gentlemen (Los Caballeros). Esta operación ha cobrado más de 320 víctimas desde mediados de 2025, de las cuales 240 ocurrieron solo en 2026.
El servidor albergaba una botnet (red de robots) con más de 1570 posibles víctimas corporativas. Una botnet es un conjunto de dispositivos conectados a internet —como ordenadores, servidores, cámaras o routers— infectados con malware y controlados remotamente por un atacante, conocido como botmaster, sin que los usuarios lo sepan.
The Gentlemen opera bajo el modelo RaaS (Ransomware as a Service), que ofrece a sus afiliados el 90% de cada rescate pagado, frente al 80% que ofrece la mayoría de las organizaciones similares. Esta diferencia del 10% resulta clave para atraer a operadores experimentados, que aportan su acceso a redes corporativas y su experiencia.
El funcionamiento es el siguiente: los operadores desarrollan las herramientas e infraestructura; los afiliados ejecutan los ataques y comparten el dinero del rescate. Los ataques se dirigen a organizaciones con infraestructura expuesta y vulnerable a internet, como VPN, puertas de enlace de acceso remoto y portales de administración de firewalls. El sector sanitario es el tercero más atacado.
Geográficamente, Estados Unidos concentra el mayor número de víctimas, seguido de Reino Unido y Alemania. En Argentina, las organizaciones registraron un promedio de 2.470 ataques semanales, con un incremento interanual del 2%. A nivel regional, Latinoamérica registró el mayor volumen de ataques, con un promedio de 3.054 por organización por semana, un aumento interanual del 9%.
Los atacantes no explotan vulnerabilidades de día cero ni métodos exóticos, sino que acceden principalmente a través de dispositivos conectados a internet sin parchear o mal configurados. La velocidad y coordinación de los ataques reflejan un grupo que ha perfeccionado su estrategia, ejecutando un proceso documentado y probado para maximizar el impacto antes de que los defensores puedan responder.