LockBit, Qilin y DragonForce: Nueva Alianza entre Grupos de Ransomware

Tres de los grupos de ransomware más conocidos (DragonForce, LockBit y Qilin) han unido fuerzas en una nueva alianza estratégica, dejando en claro que el panorama de las amenazas cibernéticas no deja de transformarse.

Esta colaboración tiene un objetivo claro: realizar ataques más efectivos y coordinados, combinando recursos técnicos, motivaciones ideológicas y fines financieros. En TecnetOne te contamos qué significa esta alianza, por qué debería preocuparte y cómo podría afectar a empresas, gobiernos y usuarios comunes en todo el mundo.

¿Por qué la alianza entre LockBit, Qilin y DragonForce marca un antes y un después?

Esta alianza entre LockBit, Qilin y DragonForce fue anunciada poco después del regreso de LockBit a la escena, y todo indica que busca compartir técnicas, recursos e infraestructura para fortalecer las capacidades operativas de cada grupo. En pocas palabras: trabajar juntos les permite lanzar ataques más rápidos, más potentes y más difíciles de detener.

Además, esta movida podría ser parte de un intento de LockBit por recuperar su reputación entre sus afiliados, tras el fuerte golpe que recibió con su desmantelamiento el año pasado. Si logran consolidar esta colaboración, es muy probable que veamos un aumento en ataques dirigidos a infraestructuras críticas, así como la expansión de sus objetivos hacia sectores que antes no estaban en la mira de este tipo de amenazas.

Por el lado de Qilin, su participación no sorprende. Se ha convertido en uno de los grupos de ransomware más activos del año, con más de 200 ataques documentados solo en el tercer trimestre de 2025. Muchas de sus operaciones se han centrado en organizaciones de Norteamérica, consolidando su posición como uno de los actores más agresivos del momento.

Este desarrollo coincide también con el lanzamiento de LockBit 5.0, una versión más avanzada de su ransomware, compatible con sistemas Windows, Linux y ESXi. La nueva variante fue presentada el 3 de septiembre de 2025 en un conocido foro de la darknet, justo cuando LockBit celebraba el sexto aniversario de su programa de afiliados.

A principios de 2024, LockBit recibió un golpe contundente tras una operación internacional conocida como “Cronos”, que resultó en la confiscación de su infraestructura y el arresto de varios de sus miembros. Fue un duro revés para uno de los grupos de ransomware más activos del mundo.

Durante su punto más alto de actividad, LockBit estuvo detrás de más de 2.500 ataques a nivel global y habría recibido más de 500 millones de dólares en pagos por rescate. Un número que deja claro el nivel de impacto que llegó a tener.

Ahora, con su regreso, muchos expertos creen que si logra recuperar la confianza de sus afiliados, LockBit podría volver a posicionarse como una de las principales amenazas del ecosistema ransomware. Esta vez, motivado no solo por intereses económicos, sino también por un probable deseo de revancha frente a las fuerzas del orden que lo desmantelaron.

Frecuencia semanal de incidentes en I+D durante el tercer trimestre de 2025

Podría interesarte leer: ¿Debes Pagar un Rescate Tras un Ciberataque? Guía de TecnetOne

El ransomware no se detiene: Nuevas alianzas, más actores y ataques globales

El regreso de LockBit y su alianza con Qilin y DragonForce no ocurre en el vacío. Mientras este trío gana fuerza, otro actor amenaza con sacudir el panorama: Scattered Spider. Este grupo, conocido por su agresiva estrategia de extorsión, parece estar a punto de lanzar su propio programa de ransomware como servicio (RaaS) llamado ShinySp1d3r. De confirmarse, sería el primer servicio RaaS desarrollado por un colectivo de habla inglesa, lo que marca un nuevo capítulo en la evolución del cibercrimen.

En paralelo, se está siguiendo de cerca el crecimiento de la infraestructura criminal online. Actualmente se rastrean 81 sitios activos de filtración de datos, frente a los 51 registrados a principios de 2024, lo que representa un aumento significativo en apenas unos meses.

Entre las víctimas, las empresas del sector de servicios profesionales, científicos y técnicos lideran las estadísticas, con más de 375 organizaciones afectadas en lo que va del año. Otros sectores también golpeados con frecuencia incluyen:

1. Manufactura

2. Construcción

3. Salud

4. Finanzas y seguros

5. Comercio minorista

6. Educación

7. Hotelería y alimentación

8. Entretenimiento

9. Tecnologías de la información

10. Bienes raíces

Un cambio importante en las tendencias de 2025 es el aumento de ataques en países como Egipto, Tailandia y Colombia. Esto sugiere que los grupos de ransomware están buscando nuevas regiones donde operar con menor presión policial, alejándose de los focos tradicionales como Europa occidental y Estados Unidos.

Sin embargo, la gran mayoría de las víctimas siguen estando en EE. UU., Alemania, Reino Unido, Canadá e Italia, donde los atacantes continúan encontrando objetivos con alta exposición digital y valor económico.

Conoce más sobre: ransomware en mexico

Ransomware y extorsión digital en cifras

Durante el tercer trimestre de 2025, se reportaron al menos 1.429 incidentes de ransomware y extorsión digital (R&DE). Aunque esta cifra representa una leve caída respecto al primer trimestre del año (1.961 incidentes), el nivel de actividad sigue siendo muy alto.

Cinco grupos fueron responsables de casi la mitad (47 %) de los ataques globales de R&DE en el segundo y tercer trimestre de 2025:

1. Qilin

2. Akira

3. INC Ransom

4. Play

5. SafePay

¿Por qué Norteamérica sigue siendo el blanco principal?

Los ataques siguen apuntando de forma desproporcionada a empresas con sede en América del Norte, y esto no es casualidad. Además del atractivo económico, las motivaciones geopolíticas e ideológicas juegan un papel clave: muchos de estos grupos tienen una fuerte oposición a las narrativas políticas y sociales occidentales, y utilizan el ransomware como una forma de ejercer presión y represalia.

Por otro lado, la madurez tecnológica de Norteamérica también la convierte en un blanco más expuesto. Sectores con amplia adopción de servicios en la nube, dispositivos IoT y estructuras digitales complejas ofrecen una superficie de ataque más grande y oportunidades más rentables para los cibercriminales.

Conclusión

El ransomware no solo sigue presente: cada vez es más sofisticado y difícil de frenar. Los grupos cibercriminales ya no trabajan solos: comparten herramientas, estrategias e infraestructura para lanzar ataques más coordinados y efectivos.

A esto se suma un cambio en el mapa: los ataques se están expandiendo a nuevos países y sectores, mientras que los sitios de filtración de datos siguen en aumento. Todo apunta a que este ecosistema criminal no solo está creciendo, sino también diversificándose.

Para las empresas (grandes o pequeñas), el mensaje es claro: invertir en ciberseguridad no es un lujo, es una necesidad crítica. Y no se trata solo de prevenir.

También es clave estar preparados para reaccionar cuando algo falla. Por eso, tener un plan de respuesta a incidentes bien definido es más importante que nunca. Saber qué hacer en las primeras horas tras un ataque puede marcar la diferencia entre una recuperación rápida o una crisis que paraliza tu negocio.

Contar con protocolos claros, equipos entrenados y una estrategia de recuperación activa puede ayudarte a:

1. Minimizar el daño

2. Reducir tiempos de inactividad

3. Proteger tu reputación

4. Evitar errores costosos bajo presión

En resumen, no basta con cerrar la puerta: hay que saber qué hacer si logran entrar. La resiliencia digital empieza con preparación.