El ransomware no desaparece, solo se transforma. Así lo demuestra el caso de BlackLock, una amenaza emergente que, tras una investigación exhaustiva, ha sido vinculada directamente con el notorio grupo de ransomware el dorado. Lejos de ser una nueva operación, BlackLock representa un claro caso de rebranding: una estrategia utilizada por actores maliciosos para evadir el escrutinio de las autoridades y renovar su imagen dentro del ecosistema criminal.
Esta revelación fue posible gracias a que expertos en ciberseguridad lograron explotar una configuración incorrecta en una aplicación web utilizada por los operadores del ransomware para filtrar datos de sus víctimas. Esta falla técnica permitió exponer direcciones IP públicas asociadas a su infraestructura (oculta detrás de servicios TOR), así como detalles sensibles del lado del servidor.
Con esta evidencia en mano, los investigadores confirmaron que el dorado no desapareció: simplemente regresó bajo un nuevo nombre, manteniendo su modelo de ransomware como servicio (RaaS) y perfeccionando su maquinaria de extorsión digital.
BlackLock arranca el año con decenas de ataques y una estrategia impredecible
En solo los dos primeros meses del año, BlackLock ya acumuló 48 ataques. Los sectores más golpeados han sido tecnología, construcción y bienes raíces, aunque su alcance no se limita solo a ellos.
Una de las cosas que más preocupa de este grupo es su forma de operar tan poco estructurada y flexible. A diferencia de otros actores más predecibles, BlackLock no sigue un patrón claro, lo que complica mucho anticiparse a sus movimientos.
Para coordinarse, suelen usar plataformas de mensajería cifrada, lo que les permite mantener su actividad en la sombra y evitar ser rastreados fácilmente.
Entre sus blancos más frecuentes están las industrias con activos valiosos y también agencias gubernamentales. En estos casos más delicados, no solo usan ransomware para extorsionar, sino que también recurren a wipers, herramientas diseñadas para borrar datos de forma irreversible y causar el máximo daño posible.
BlackLock no empezó desde cero. De hecho, gran parte de su estructura técnica proviene directamente de su versión anterior, El Dorado. Sigue usando Golang, lo que le permite lanzar ataques tanto en sistemas Windows como Linux, y mantiene técnicas de cifrado bastante avanzadas, como ChaCha20 y RSA-OAEP.
Lo interesante es que no solo heredaron esas herramientas, sino que también las mejoraron. Ahora cuentan con una velocidad de cifrado mucho más rápida y aplican estrategias más precisas, apuntando a objetivos más específicos y con mayor impacto.
Este tipo de evolución no es nuevo en el mundo del ransomware. Ya se ha visto con otros grupos que cambian de nombre pero conservan el núcleo técnico, como pasó con Babuk, que terminó derivando en BabLock, o Revil, que reapareció bajo el nombre de BlackMatter.
Hoy por hoy, BlackLock se ha ganado un lugar como uno de los grupos de ransomware más reconocidos de 2025, sobre todo por la cantidad de víctimas de alto perfil que han expuesto públicamente a través de su sitio de filtraciones. La estrategia de sembrar el terror no solo se mantiene, sino que se refina con cada nuevo movimiento.
Podría interesarte leer: Las Nuevas Bandas de Ransomware en 2025
Del rastreo al rebranding: Cómo cayó BlackLock y qué viene después
Gracias a una investigación profunda, expertos en ciberseguridad lograron desbaratar parte de la operación de BlackLock, un ransomware que ha crecido a una velocidad impresionante en los últimos meses. De hecho, ya es considerado una de las cepas más activas y agresivas que circulan hoy.
Sus víctimas no se limitan a un solo sector: han atacado a empresas de tecnología, salud, educación, defensa, proveedores de servicios de TI, instituciones religiosas y hasta agencias gubernamentales. Lo más alarmante es que las organizaciones afectadas están repartidas por todo el mundo, incluyendo países como Argentina, Brasil, España, Italia, Estados Unidos, Reino Unido, Francia, Canadá, entre muchos otros.
Durante el último trimestre del año pasado, las publicaciones de filtraciones de datos por parte del grupo aumentaron un sorprendente 1425 % en comparación con el trimestre anterior. Ese salto no pasó desapercibido, y varios informes independientes ya alertan que, si mantiene ese ritmo, BlackLock podría convertirse en el grupo de ransomware como servicio (RaaS) más dominante en 2025.
Parte de esta investigación logró acceder a información muy valiosa desde el lado del servidor del grupo criminal. Se obtuvieron registros clave, detalles de la red, cuentas utilizadas para el almacenamiento de datos robados (particularmente en la plataforma MEGA) y hasta patrones de inicio de sesión. En total, se identificaron al menos ocho cuentas MEGA vinculadas directamente al manejo de datos robados.
Los atacantes usaban herramientas como rclone para sincronizar automáticamente la información entre los sistemas comprometidos y su infraestructura en la dark web, lo que les permitía exfiltrar enormes volúmenes de datos con eficiencia.
Un golpe fuerte fue lograr vulnerar el llamado DLS (Data Leak Site) de BlackLock, desde donde publicaban la información robada a las víctimas. Este acceso permitió no solo entender cómo operaban, sino también anticipar algunos de sus próximos movimientos y evitar ataques que ya estaban en marcha. Varias víctimas no identificadas públicamente fueron alertadas a tiempo, lo que permitió mitigar daños.
Sobre el origen del grupo, ya se confirmó lo que muchos sospechaban: BlackLock no es más que el nuevo nombre de El Dorado, un grupo ya conocido por su actividad previa. Este cambio de nombre fue, en parte, un intento por evadir la presión de las autoridades y continuar operando con un perfil “renovado”. Además, hay indicios de que los mismos actores también estuvieron involucrados en otros proyectos similares, como el ransomware Momona, aunque este último tampoco duró demasiado.
En un giro interesante, una IP asociada al entorno de Mamona fue descubierta por investigadores europeos, lo que causó alarma entre sus afiliados y contribuyó a la caída de la operación. Tanto BlackLock como Momona están actualmente inactivos. Sin embargo, esto no significa que el ecosistema se haya calmado. Todo lo contrario.
Aprovechando el vacío que dejaron estos dos grupos, otro actor importante, DragonForce, parece estar tomando la posta. Algunas señales apuntan a que DragonForce podría estar absorbiendo parte de la base de afiliados de BlackLock, lo que les daría más poder y presencia en el panorama de ransomware global. A medida que unos caen, otros se fortalecen, y el juego del gato y el ratón continúa en el mundo de la ciberseguridad.
Conoce más sobre: El Debut del Ransomware RedCurl
Conclusión
El caso de BlackLock refleja una realidad cada vez más común en el mundo del cibercrimen: los grupos de ransomware no desaparecen, simplemente se reinventan. Cambian de nombre, ajustan sus tácticas y regresan con más fuerza. El paso de El Dorado a BlackLock, y ahora la posible transición hacia DragonForce, muestra cómo estos actores se adaptan rápidamente para seguir operando en la sombra.
Aunque se logró exponer parte de su infraestructura y frenar temporalmente su actividad, la amenaza persiste. El hecho de que BlackLock ejecutara decenas de ataques en apenas semanas, y que sus víctimas incluyeran desde empresas tecnológicas hasta agencias gubernamentales, demuestra su alcance global y su nivel de sofisticación.
Por eso, las empresas no pueden quedarse con una estrategia básica de protección. Hoy, es esencial contar con soluciones avanzadas de ciberseguridad que ofrezcan monitoreo constante, detección temprana de amenazas y una respuesta rápida ante incidentes. Y junto a esto, mantener copias de seguridad actualizadas, automáticas y almacenadas de forma segura es fundamental para garantizar la recuperación ante un posible ataque.
Justo eso es lo que ofrece TecnetProtect, una solución integral de ciberseguridad y backups pensada para empresas que necesitan protegerse frente a amenazas cada vez más sofisticadas. TecnetProtect incluye protección antiransomware, que no solo realiza copias de seguridad seguras, sino que también incorpora inteligencia artificial para detectar comportamientos sospechosos en tiempo real. Cuando TecnetProtect detecta un intento de cifrado malicioso, bloquea el proceso automáticamente y permite recuperar los archivos afectados desde la copia de seguridad sin pagar un centavo de rescate.
La ciberseguridad es un proceso que requiere atención constante. Entender cómo operan estos grupos, cómo se transforman y hacia dónde se mueven, permite anticiparse y reforzar defensas. Porque en este juego de ataque y defensa, solo quienes se adaptan con rapidez logran mantenerse protegidos.
