Perfil de la Dark Web del Ransomware SafePay
Gustavo Sánchez 08/01/2025 Ciberseguridad, Malware
9 Minutos

SafePay es un grupo de ransomware que apareció por primera vez alrededor de septiembre de 2024. Su forma de operar es bastante directa (y peligrosa): cifra los archivos de sus víctimas y exige un pago en criptomonedas para devolverles el acceso. Pero eso no es todo. También roba información sensible y amenaza con publicarla en la dark web si no se paga el rescate, una táctica conocida como doble extorsión, que se ha vuelto cada vez más común en este tipo de ataques.

A diferencia de muchos otros grupos de ransomware que usan el modelo de Ransomware-as-a-Service (RaaS) (donde afiliados externos se encargan de distribuir el malware a cambio de una comisión), SafePay parece operar por cuenta propia. Es decir, el mismo equipo detrás del ransomware es quien diseña, despliega y ejecuta los ataques, sin intermediarios. Esto sugiere un enfoque más controlado y organizado, probablemente para mantener el control total sobre las víctimas y las ganancias.

 

safepay-dls

Sitio de fuga de datos (DLS) de SafePay Ransomware

 

¿Quién está detrás de SafePay Ransomware?

 

SafePay irrumpió en la escena del ransomware a principios de 2025, y lo hizo con fuerza. Hasta hace poco, era un nombre prácticamente desconocido, pero en cuestión de meses pasó a ser uno de los grupos más agresivos y activos del momento. Sus ataques comenzaron a multiplicarse rápidamente y, según ellos mismos, ya se atribuyen más de 265 víctimas en distintos países.

Lo curioso es que en 2024 apenas habían atacado a unas 20 organizaciones. Pero en 2025, su actividad se disparó de forma alarmante, demostrando que están evolucionando rápido y que tienen los recursos (y la intención) de escalar sus operaciones a nivel global.

Y si quedaban dudas sobre su nivel de amenaza, hace poco dieron un paso más: SafePay lanzó una seria advertencia contra Ingram Micro, una de las mayores distribuidoras de tecnología del mundo. El grupo afirma haber robado 3,5 terabytes de datos confidenciales durante un ciberataque ocurrido a principios del mes pasado. Ahora amenazan con filtrar toda esa información sensible si la empresa no accede a sus demandas.

Con este tipo de movimientos, SafePay deja claro que no solo busca dinero, sino también generar impacto y presión mediática. Sin duda, se están posicionando como un actor que va más allá de los ataques oportunistas, con un enfoque mucho más calculado y dañino.

 

¿A quién apunta SafePay Ransomware?

 

Desde su aparición, SafePay ha atacado a más de 250 organizaciones en todo el mundo, y no parece que vayan a frenar pronto. Sus objetivos están repartidos en diferentes regiones e industrias, pero el foco es claro: países con economías desarrolladas y sectores críticos.

 

Principales países afectados

 

El país más golpeado por los ataques de SafePay es, con diferencia, Estados Unidos, con al menos 103 víctimas confirmadas, lo que representa cerca del 40% del total conocido. Le siguen Alemania con 47 casos, y luego otros países como el Reino Unido, Australia, Canadá y varias naciones en América Latina y Asia.

Este patrón geográfico deja claro que SafePay se enfoca principalmente en América del Norte y Europa Occidental, donde las organizaciones suelen tener más recursos... y por tanto, más que perder.

 

safeboy-targeted-countries

Los 10 principales países a los que se dirige SafePay Ransomware (Fuente: SOCRadar)

 

Un dato especialmente preocupante es que México figura entre los 10 países más atacados por este ransomware. Esto refleja una tendencia alarmante: los ciberdelincuentes ya no se centran exclusivamente en potencias globales, sino que también están mirando hacia economías emergentes con infraestructura digital cada vez más activa y, en muchos casos, con niveles de ciberseguridad desiguales. Esto convierte a México en un blanco atractivo para este tipo de amenazas.

 

Conoce más sobre: Ransomware en México: ¿Cómo afecta al sector TI y cómo prevenirlo?

 

¿Qué tipo de industrias atacan?

 

Lo interesante es que SafePay no se limita a un solo sector. Ha afectado a una amplia variedad de industrias, con un enfoque evidente en aquellas que manejan grandes volúmenes de datos, infraestructura crítica o servicios esenciales. Entre los sectores más atacados se encuentran:

 

  1. Fabricación

  2. Tecnología

  3. Educación

  4. Salud

  5. Servicios empresariales

 

Además, también han sido objetivo empresas de transporte y logística, finanzas, agricultura, servicios públicos y hasta servicios al consumidor.

Esta diversidad sugiere que SafePay no busca atacar una vertical específica, sino que apunta a organizaciones que podrían verse presionadas a pagar rápidamente para evitar interrupciones graves o filtraciones de datos.

 

¿A quién NO ataca Ransomware SafePay?

 

Algo muy revelador es que SafePay evita intencionalmente ciertos países, especialmente los que forman parte de la Comunidad de Estados Independientes (CEI), como Rusia, Ucrania, Bielorrusia y otras naciones de la antigua URSS.

¿Cómo lo hacen? El malware incluye una función que verifica el idioma del sistema antes de ejecutarse. Si detecta que el sistema operativo está en alguno de los siguientes idiomas, simplemente se cierra sin hacer daño:

 

  1. Armenio

  2. Azerbaiyano (cirílico)

  3. Bielorruso

  4. Georgiano

  5. Kazajo

  6. Ruso

  7. Ucraniano

 

Este comportamiento, bastante común en ransomware de origen ruso o de exrepúblicas soviéticas, sugiere que SafePay podría tener conexiones con esas regiones o al menos busca evitar conflictos locales o represalias.

 

¿Cómo ataca SafePay Ransomware? Técnicas, tácticas y lo que debes saber

 

El grupo detrás de SafePay Ransomware no improvisa. Sus ataques están bien planeados, y utilizan una combinación de tácticas tradicionales y técnicas avanzadas para entrar en los sistemas, moverse por la red, robar información y finalmente cifrar archivos.

Si bien muchas de sus estrategias son compartidas por otros grupos de ransomware, SafePay tiene algunas particularidades que lo hacen más difícil de detectar y detener. A continuación, te explicamos cómo funciona SafePay paso a paso, con un lenguaje claro pero sin perder el nivel técnico.

 

Acceso inicial: Cómo entra SafePay a las redes

 

SafePay suele hacer una labor de reconocimiento previa, identificando puntos débiles y recopilando credenciales de acceso válidas.

 

  1. Muchas veces compran estas credenciales robadas en mercados de la dark web, o las obtienen con malware especializado en robo de información.

  2. Luego las usan para acceder a servicios expuestos, como portales VPN sin proteger o conexiones RDP mal configuradas.

  3. También explotan vulnerabilidades conocidas en software o dispositivos mal parcheados.

 

Una técnica que está creciendo entre sus campañas es el phishing combinado con vishing. Mandan correos maliciosos haciéndose pasar por soporte técnico y, si no hay respuesta, incluso llaman por teléfono para convencer al usuario de que abra un archivo o dé acceso remoto. En algunos casos, han usado plataformas como Microsoft Teams para interactuar en tiempo real.

 

Ejecución del ataque: Scripts, herramientas nativas y discreción

 

Una vez dentro, el equipo de SafePay no pierde tiempo. Ejecutan scripts y cargas útiles (payloads) para establecer control sobre el entorno infectado. Utilizan:

 

  1. Scripts en PowerShell o archivos .bat para automatizar su infraestructura de ataque.

  2. Herramientas propias del sistema operativo, como cmd.exe o regsvr32, para evitar levantar sospechas (una técnica conocida como Living off the Land).

  3. En algunos casos, lanzan archivos DLL maliciosos disfrazados de procesos legítimos de Windows.

 

El ransomware en sí es modular y configurable, lo que les permite ajustar el comportamiento del ataque según la red: elegir qué carpetas cifrar, qué excluir o incluso autodestruirse tras ejecutarse.

 

Persistencia: Cómo se aseguran de no perder el acceso

 

SafePay también se asegura de mantener el acceso durante el mayor tiempo posible:

 

  1. Instalan herramientas de control remoto legítimas como ConnectWise ScreenConnect, que pueden pasar desapercibidas si usan credenciales válidas para su instalación.

  2. En algunos ataques, se ha detectado el uso de malware personalizado como QDoor, una herramienta ligera de acceso remoto que permite ejecutar comandos o túneles ocultos.

  3. Modifican entradas del Registro de Windows para que sus procesos se inicien automáticamente al reiniciar el sistema.

 

Escalada de privilegios: De usuarios normales a administradores

 

Para tener el control total del sistema, SafePay necesita acceso con privilegios elevados. Si entran con una cuenta común, enseguida buscan subir de nivel:

 

  1. Utilizan herramientas como Mimikatz para extraer contraseñas e incluso hashes desde la memoria del sistema.

  2. Se aprovechan de malas prácticas comunes, como contraseñas repetidas, políticas débiles o administradores que usan cuentas sin protección adicional.

  3. Incluso han logrado evitar los avisos de UAC (Control de Cuentas de Usuario) para obtener privilegios de administrador sin levantar sospechas.

 

Evasión de defensas: Cómo burlan antivirus y detecciones

 

SafePay dedica bastante esfuerzo a evadir herramientas de seguridad:

 

  1. Desactivan Microsoft Defender y otros antivirus usando comandos administrativos o modificando políticas de grupo.

  2. Añaden exclusiones a carpetas específicas y eliminan software de seguridad si tienen permisos suficientes.

  3. Usan técnicas como carga dinámica, empaquetado, cifrado de cadenas y verificación geográfica (geofencing).

 

Acceso a credenciales: Robar para moverse mejor

 

Durante todo el ataque, SafePay sigue recolectando credenciales para ampliar su control:

 

  1. Usan herramientas como Mimikatz, pero también buscan credenciales guardadas en navegadores, clientes RDP o software de administración.

  2. Estas credenciales robadas se utilizan para desactivar defensas, acceder a más sistemas y preparar la red para el cifrado final.

 

Movimiento lateral: Expansión silenciosa por toda la red

 

Una vez que tienen acceso privilegiado, los atacantes se mueven lateralmente por la red de forma sigilosa:

 

  1. Se conectan a otros sistemas usando RDP, carpetas compartidas o comandos remotos.

  2. Utilizan herramientas como ShareFinder para descubrir servidores importantes, unidades compartidas o recursos críticos que vale la pena cifrar.

  3. Siguen usando PowerShell, scripts por lotes y herramientas nativas de Windows para no levantar alarmas.

 

Este movimiento lateral les permite tomar el control de infraestructura clave, como servidores de respaldo o sistemas de virtualización, antes de lanzar el ataque principal.

 

Podría interesarte leer: ¿Por qué el movimiento lateral es clave en los ataques de ransomware?

 

Exfiltración de datos: Robo silencioso antes del desastre

 

SafePay no solo cifra archivos, también roba grandes cantidades de datos sensibles. De hecho, suelen pasar varios días navegando por la red y copiando información:

 

  1. Localizan archivos importantes (bases de datos, documentos financieros, archivos legales).

  2. Los comprimen con herramientas como WinRAR y los transfieren con FileZilla o Rclone a servidores controlados por ellos.

  3. A menudo exfiltran cientos de gigabytes sin ser detectados, gracias a que estas herramientas disfrazan bien el tráfico saliente.

 

Estos datos robados luego se usan para la segunda fase del ataque: la extorsión.

 

safepay-cyber-kill-chain

Diagrama simplificado de la cadena de ataque de SafePay Ransomware

 

Impacto final: Cifrado, nota de rescate y amenaza pública

 

Cuando todo está listo, SafePay lanza la fase final:

 

  1. Cifran los archivos y cambian su extensión a .safepay.

  2. Dejan una nota de rescate (generalmente readme_safepay.txt) en el sistema, donde dan instrucciones para contactar al grupo a través de un portal alojado en la dark web (normalmente en The Open Network - TON).

  3. Amenazan con publicar los datos robados si no se paga el rescate.

 

Además, su sitio de filtraciones (conocido como DLS (Data Leak Site)) se actualiza regularmente con información de víctimas que se negaron a pagar, lo que aumenta la presión sobre las empresas atacadas.

 

safepay-ransom-note

Nota de rescate de SafePay Ransomware

 

Podría interesarte leer: Loki Locker Ransomware: ¿Qué es, cómo funciona y cómo protegerte?

 

¿Cómo protegerse del ransomware SafePay? Tácticas de mitigación efectivas

 

Enfrentar una amenaza como SafePay Ransomware no es tarea sencilla. Este grupo es sofisticado, sigiloso y persistente. Por eso, proteger tu empresa requiere un enfoque en capas, que combine tecnología, buenas prácticas y concientización del usuario.

No existe una solución mágica que lo resuelva todo, pero hay medidas concretas que pueden reducir drásticamente el riesgo de sufrir un ataque y minimizar el impacto si llega a ocurrir. 

Aquí te contamos qué puedes hacer para defenderte de SafePay y cómo soluciones como las de TecnetOne pueden ayudarte a estar siempre un paso adelante.

 

Fortalece el acceso: lo básico, pero bien hecho

 

Uno de los puntos favoritos de entrada para SafePay es el acceso remoto sin proteger. Por eso, asegurar tus accesos es el primer paso lógico:

 

  1. Usa contraseñas seguras y únicas para todas las cuentas, especialmente las administrativas.

  2. Habilita autenticación multifactor (MFA) en todo: VPN, RDP, paneles de administración, etc.

  3. Restringe el acceso remoto solo a lo esencial. Si no es absolutamente necesario, mejor desactivarlo.

  4. Realiza auditorías periódicas y elimina cuentas que ya no se usan.

 

En TecnetOne podemos ayudarte a implementar políticas de acceso seguras y monitorear el comportamiento de los usuarios en tiempo real con nuestro SOC as a Service (Centro de Operaciones de Seguridad como servicio), que actúa como una barrera activa ante accesos no autorizados.

 

Parcheo y endurecimiento de sistemas

 

Muchos ataques de SafePay aprovechan vulnerabilidades conocidas. La mayoría de ellas ya tienen parches disponibles, pero muchas veces se ignoran por falta de tiempo o recursos.

 

  1. Asegúrate de mantener actualizados tus VPN, firewalls, servidores y software público.

  2. Desactiva servicios que no usas, como RDP, si no son estrictamente necesarios.

 

Monitorea credenciales y comportamientos sospechosos

 

SafePay se alimenta del robo de credenciales válidas. Detectar un mal uso temprano puede evitar que se propague por tu red.

 

  1. Usa herramientas de EDR (detección y respuesta en endpoints) para ver si hay actividad sospechosa con procesos como Mimikatz o acceso al proceso LSASS.

  2. Pon atención a inicios de sesión inusuales: por ejemplo, credenciales válidas usadas desde direcciones IP desconocidas o ubicaciones fuera de lo común.

  3. Supervisa señales de movimiento lateral, como el uso de carpetas compartidas administrativas o ejecuciones remotas en masa.

 

El SOC de TecnetOne monitorea 24/7 estos patrones de comportamiento anómalos, ayudándote a detectar ataques en etapas tempranas antes de que escalen.

 

Controla el uso de herramientas vulnerables

 

Muchas de las herramientas que SafePay usa en sus ataques ya vienen incluidas en Windows. Por eso, es importante controlar su uso:

 

  1. Limita o bloquea el acceso a herramientas como PowerShell, regsvr32, cmd.exe, etc.

  2. Configura alertas cuando se ejecuten scripts por lotes o herramientas poco comunes.

  3. Supervisa el uso de software de administración remota como ScreenConnect. Si alguien lo instala sin que esté autorizado, debería saltar una alerta.

 

Prepárate para detectar comportamientos típicos del ransomware

 

Los ataques de ransomware dejan señales si sabes dónde mirar. Algunas acciones que puedes tomar:

 

  1. Desactiva Windows Script Host, si no lo necesitas.

  2. Usa directivas de grupo para bloquear la creación de archivos con extensiones sospechosas, como .safepay.

  3. Detecta cambios bruscos en archivos, uso de WinRAR, o transferencias inusuales con Rclone o FileZilla.

 

Respaldos seguros y recuperación rápida

 

Tener copias de seguridad es indispensable… pero no cualquier backup sirve.

 

  1. Realiza respaldos periódicos, automáticos y fuera de línea (offline).

  2. Aísla la infraestructura de backup del resto de la red para que no pueda ser cifrada por el ransomware.

  3. Asegúrate de que los backups no puedan ser eliminados o manipulados por atacantes.

  4. Prueba regularmente que puedas restaurar los datos de forma completa y rápida.

 

Aquí es donde entra TecnetProtect Backup, nuestra solución basada en la tecnología de Acronis, una de las herramientas más robustas del mundo en protección de datos.

Con TecnetProtect no solo tienes copias de seguridad automáticas, cifradas y aisladas, sino que también puedes restaurar sistemas completos en minutos, sin perder información crítica.

 

Capacitación y respuesta del usuario

 

Los humanos siguen siendo el “eslabón más débil”, pero también pueden convertirse en tu primera línea de defensa.

 

  1. Capacita a tus colaboradores para que reconozcan correos de phishing, llamadas de vishing y mensajes sospechosos en chats corporativos.

  2. Realiza simulaciones regulares: envía correos falsos y mide quién cae en la trampa.

  3. Prepara y comunica un plan de respuesta a incidentes claro. Todo el equipo debe saber qué hacer si algo sale mal: aislar máquinas, contactar al equipo de TI, no interactuar con los atacantes, etc.

 

Conclusión

 

Protegerse del ransomware SafePay no es cuestión de suerte. Es cuestión de prepararse bien. Con un enfoque en capas que incluya controles técnicos sólidos, copias de seguridad confiables, monitoreo continuo y educación constante, puedes reducir drásticamente tus riesgos y estar listo para responder si algo sucede.

Y si no tienes un equipo de ciberseguridad interno robusto, no te preocupes. En TecnetOne te ofrecemos soluciones completas y gestionadas que te acompañan en cada paso, desde la prevención hasta la respuesta rápida ante incidentes. 

¿Quieres evaluar si tu empresa está lista para enfrentar una amenaza como SafePay? 

 

Contáctanos

Tag:

Ciberseguridad Malware

Hacker AKA_Astaroth Expone Datos Oficiales de Colima, Campeche y Más

Artículo Anterior

Sophos Endpoint: Informe de Protección Endpoint de SE Labs

Siguiente Artículo
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
Guía para Activar y Usar Copilot en Word Eficazmente
Alexander Chapellin 03/27/2024 Ciberseguridad, Riesgos informaticos
Top 5 de Foros Rusos en la Dark Web

Artículos Relacionados

Ciberseguridad, Riesgos informaticos, EDR, Malware, Ciberataque
Alexander Chapellin 08/07/2025

Nueva Herramienta EDR Killer Usada por Ocho Grupos de Ransomware

Una nueva herramienta diseñada para desactivar soluciones de detección y respuesta en endpoints

Leer más
Ciberseguridad, Malware, Ciberataque
Scarlet Mendoza 08/06/2025

Akira Ransomware usa Herramienta de CPU para Desactivar Defender

El ransomware Akira ha encontrado una nueva forma de esquivar las defensas de Windows: está

Leer más
Malware, Ciberataque
Levi Yoris 08/04/2025

Nuevo Malware Plague Ataca Dispositivos Linux

Un nuevo malware para Linux, que ha pasado desapercibido por más de un año, está dando mucho de qué

Leer más