Los grupos de hackers que antes competían entre sí ahora están formando alianzas globales para compartir infraestructura, herramientas y datos robados. Esta colaboración, que muchos expertos comparan con los cárteles del narcotráfico, está transformando radicalmente el panorama de la ciberseguridad.
En TecnetOne te explicamos cómo estos cárteles digitales operan, qué grupos están detrás y, sobre todo, cómo puedes proteger a tu organización ante una amenaza que ya no actúa sola, sino en red.
De rivales a socios: la evolución del cibercrimen
Durante años, los grupos de ransomware compitieron entre sí por notoriedad y ganancias. Sin embargo, el éxito de operaciones policiales internacionales y la presión de los gobiernos los empujaron a colaborar para sobrevivir y fortalecerse.
Hoy, estos grupos no solo comparten herramientas o servidores: planifican ataques conjuntos, se reparten las ganancias y perfeccionan sus métodos de extorsión. En lugar de dispersarse, se organizan como verdaderas corporaciones criminales.
La evidencia más reciente de esta tendencia es la creación de un “cártel de ransomware” formado por LockBit, Qilin y DragonForce, anunciado públicamente el 8 de octubre en un portal de la dark web.
Su lema lo dice todo: “Unidos por el futuro de nuestro campo”.
El cártel del ransomware: LockBit, Qilin y DragonForce
El nuevo cártel combina experiencia, alcance global y sofisticación técnica:
- LockBit: considerado el grupo de ransomware-as-a-service (RaaS) más grande del mundo. Aunque fue golpeado duramente por una operación internacional en 2024, que desmanteló parte de su infraestructura, ha vuelto más fuerte con la versión LockBit 5.0, su plataforma más avanzada hasta la fecha.
- Qilin: famoso por su reciente ataque a la cervecera japonesa Asahi Breweries, aporta una reputación de efectividad y agresividad en sus campañas.
- DragonForce: ofrece un modelo de ransomware “en etiqueta blanca”, que permite a otros criminales usar su tecnología bajo distintos nombres. Actúa como el facilitador del cártel, brindando soporte técnico y difusión.
Juntos, estos grupos unen fuerzas para perfeccionar las técnicas de cifrado, el robo de datos y la doble extorsión, una táctica en la que las víctimas no solo deben pagar para recuperar sus sistemas, sino también para evitar que su información sea publicada.
Esta unión recuerda a la histórica alianza entre LockBit y Maze en 2020, que cambió para siempre la forma en que operan los grupos de ransomware.
Lee más: Trinity of Chaos: Una Alianza Cibercriminal
Crimson Collective y la resurrección del cibercrimen organizado
El ransomware no es la única manifestación de estos nuevos cárteles digitales.
Otro grupo en auge, Crimson Collective, ha demostrado hasta qué punto la cooperación entre actores criminales multiplica su poder.
Crimson Collective saltó a los titulares tras vulnerar los sistemas de Red Hat Consulting, robando más de 570 GB de información confidencial y 28.000 repositorios de código que contenían tokens de acceso y credenciales de más de 5.000 empresas.
El grupo ahora opera a través del portal Scattered Lapsus$ Hunters, una fusión de las bandas Scattered Spider, Lapsus$ y Shiny Hunters, que parecían desmanteladas hasta hace poco.
Su forma de trabajar combina ingeniería social y ciberataques en la nube, usando técnicas de vishing (llamadas falsas a empleados) y explotando credenciales filtradas en servicios como AWS o Salesforce.
Un portavoz anónimo del grupo lo confirmó en la dark web:
“Preferimos la extorsión directa. No necesitamos ransomware para hacer daño.”
Este enfoque reduce riesgos y acelera los ataques, haciendo que las víctimas tengan menos tiempo para reaccionar.
Cárteles digitales: cooperación en la sombra
Las alianzas entre grupos como LockBit, Qilin, DragonForce o Crimson Collective han cambiado las reglas del juego.
Ya no se trata de organizaciones pequeñas y aisladas, sino de redes globales de cooperación que funcionan con la misma eficiencia que una empresa multinacional.
Comparten infraestructura, intercambian información sobre vulnerabilidades, subcontratan hackers especializados y utilizan plataformas conjuntas para monetizar los ataques.
El resultado es un efecto multiplicador:
- Un solo ataque puede afectar a múltiples organizaciones en cadena.
- Los rescates se coordinan entre varios grupos para presionar más a las víctimas.
- Los tiempos de respuesta se reducen, haciendo casi imposible detenerlos a tiempo.
En esencia, el crimen digital ha alcanzado un nivel de organización y cooperación sin precedentes.
Las consecuencias para las empresas y gobiernos
El impacto de estas coaliciones criminales va mucho más allá del dinero.
Cuando una empresa es atacada por uno de estos cárteles, no solo enfrenta un rescate millonario, sino también una serie de daños colaterales:
- Pérdida de confianza por parte de clientes y socios.
- Filtración de datos confidenciales que puede afectar a toda la cadena de suministro.
- Sanciones legales por no proteger la información adecuadamente.
- Impacto reputacional que puede tardar años en recuperarse.
Casos como los de Asahi Breweries y Red Hat demuestran que ni los gigantes tecnológicos ni las corporaciones industriales están a salvo.
Cada filtración de datos se convierte en un recurso para futuras campañas criminales.
También podría interesarte: Alianza Letal de Hackers: ShinyHunters y Scattered Spider Atacan
Qué puedes hacer ante los nuevos cárteles digitales
En TecnetOne, creemos que la única forma de contrarrestar la cooperación criminal es fortalecer la cooperación defensiva.
Si los atacantes se organizan, las empresas deben hacer lo mismo.
Aquí te compartimos las medidas esenciales que debes aplicar hoy:
- Refuerza la autenticación
Implementa certificados basados en dispositivos y autenticación multifactor (MFA) en todos los accesos corporativos.
- Restringe el uso de credenciales
Establece políticas IAM (Identity and Access Management) que impidan el uso de contraseñas compartidas o de larga duración.
- Escanea tu código y tus entornos
Usa herramientas de detección de secretos en repositorios como GitHub o GitLab para evitar que tokens o claves API se filtren por error.
- Limita los accesos remotos
Permite conexiones solo desde IPs confiables y bloquea puertos expuestos innecesariamente, especialmente RDP.
- Aplica parches de seguridad prioritarios
Muchos ataques aprovechan vulnerabilidades conocidas en sistemas desactualizados.
Mantén tus servidores, endpoints y aplicaciones siempre actualizados.
- Fomenta la inteligencia compartida
Participa en redes de colaboración y compartición de indicadores de compromiso (IoC) con otras empresas del sector.
- Capacita a tu equipo
La ingeniería social sigue siendo la puerta principal de acceso.
Invertir en capacitación es invertir en prevención.
Cooperar para sobrevivir
El mensaje es claro: los cibercriminales han entendido que colaborar es más rentable que competir.
Esa misma lógica debe aplicarse al ámbito corporativo.
Las empresas no pueden seguir actuando de forma aislada. Es necesario compartir inteligencia, coordinar estrategias y construir una resiliencia colectiva.
En TecnetOne creemos que la ciberseguridad moderna es un esfuerzo compartido.
La defensa ya no se basa solo en herramientas tecnológicas, sino en una comunidad que aprende, reacciona y evoluciona junta frente a un enemigo cada vez más organizado.
Conclusión
El surgimiento de estos cárteles cibercriminales marca un punto de inflexión en la historia del crimen digital.
Las fronteras entre grupos, países e incluso tipos de ataque se han desdibujado.
Frente a ello, las empresas deben adoptar una estrategia integral y colaborativa, basada en la anticipación, la respuesta rápida y la cooperación global.
Porque si los delincuentes ya actúan como un cártel, la ciberdefensa también debe hacerlo.
