Los ciberataques están dejando de ser historias lejanas y se están convirtiendo en un problema cotidiano que afecta tanto a empresas como a instituciones clave. En México, un nombre ha estado en boca de todos: RansomHub, un grupo de ransomware que, aunque se vende como “ético” al evitar atacar hospitales sin fines de lucro y ciertos países, no deja de ser extremadamente peligroso. En poco tiempo, este colectivo se ha convertido en uno de los más activos en el mundo, con un enfoque particular en Latinoamérica. En México, ya han puesto en jaque a grandes organizaciones como Grupo Aeroportuario del Centro Norte (OMA), la UNAM y Mabe.
Formado a principios de 2024 tras la caída del grupo ALPHV/BlackCat, RansomHub ha construido una red de afiliados que operan bajo sus propias reglas, las cuales, según ellos, justifican de alguna manera su actividad criminal. Sin embargo, detrás de esa fachada de "códigos éticos", el daño que provocan sigue siendo devastador.
En su foro en la deep web, RansomHub deja algo muy claro: no tienen intereses políticos ni ideológicos, su único objetivo es ganar dinero, específicamente en dólares. Sus afiliados, que provienen de varios países, operan con un enfoque frío y calculado: secuestrar datos, extorsionar a las víctimas y asegurarse de obtener las mayores ganancias posibles.
Eso sí, dentro de su estrategia tienen ciertas "reglas". Por ejemplo, prohíben atacar a entidades en países como los de la Comunidad de Estados Independientes (CEI), Cuba, Corea del Norte y China. También excluyen de su lista a hospitales sin fines de lucro y algunas organizaciones de beneficencia. Aunque suene a un "código de ética", al final del día estas restricciones no tienen nada que ver con valores humanos: simplemente buscan enfocar sus esfuerzos en objetivos con mayor impacto financiero.
“Los afiliados deben cumplir con los acuerdos alcanzados durante las negociaciones y los requisitos establecidos; si no lo hacen, contáctenos. Los prohibiremos y no trabajaremos con ellos nuevamente”. RansomHub.
Conoce más sobre: RansomHub: ¿Cómo Están Eliminando EDR para Potenciar sus Ciberataques?
RansomHub tiene un enfoque peculiar cuando se trata de negociar con sus víctimas. Más allá del típico secuestro de datos, se presentan como un grupo “organizado” con reglas claras para sus afiliados y ciertas garantías para las empresas que deciden pagar el rescate. En su sitio, incluso tienen un canal de comunicación donde las víctimas pueden reportar si un afiliado no respeta los acuerdos.
Por ejemplo, si una empresa paga el rescate pero el afiliado no entrega el descifrador para recuperar los datos, RansomHub promete intervenir y entregar el descifrador de manera gratuita. Además, si la misma empresa es atacada nuevamente por error, les aseguran que recibirán el descifrador de inmediato. También manejan una curiosa política de "atacamos solo a quienes debemos": si una organización es secuestrada por error (porque no estaba dentro de sus objetivos permitidos), se comprometen a liberar sus datos y sancionar al afiliado responsable.
Este modelo, aunque insólito, tiene una intención clara: generar confianza entre sus víctimas para alentarlas a pagar el rescate. Al imponer estas reglas, RansomHub intenta proyectar una imagen de “control” y “seriedad” sobre sus operaciones, mostrando que incluso en el mundo del crimen digital, respetan sus propios acuerdos.
RansomHub tiene su propio "modelo de negocio" basado en el esquema de Ransomware-as-a-Service (RaaS). ¿Cómo funciona? Básicamente, ellos proporcionan las herramientas, y los afiliados ejecutan los ataques. A cambio, los afiliados se quedan con el 90% de los pagos obtenidos, mientras que el grupo central recibe un 10%. Es un trato que ha resultado muy atractivo para ciberdelincuentes, ya que permite obtener ganancias significativas con un esfuerzo relativamente bajo.
Esta estrategia ha sido un pilar en la expansión de RansomHub. Ofreciendo un porcentaje tan alto a sus afiliados, han logrado atraer a antiguos miembros de otros grupos como LockBit y ALPHV/BlackCat, que colapsó hace poco. Esto les ha permitido construir una red global cada vez más grande y con un impacto más amplio en el mundo del cibercrimen. En pocas palabras, es un negocio redondo para todos los involucrados... excepto, claro, para sus víctimas.
Conoce más sobre: Detección de Ataques de Ransomware con Wazuh
En México, RansomHub ya ha dejado su huella en varias organizaciones importantes, filtrando información sensible y causando un caos considerable. Entre las víctimas más destacadas están:
OMA (Grupo Aeroportuario del Centro Norte): RansomHub filtró nada menos que 2.2 terabytes de datos, exponiendo auditorías, contratos, información financiera e incluso detalles de seguridad de 13 aeropuertos mexicanos. La reputación de OMA quedó por los suelos, y lo peor es que todos esos datos internos ahora están dando vueltas en la dark web, disponibles para cualquiera con malas intenciones.
UNAM: En mayo de 2024, la máxima casa de estudios del país se convirtió en otro blanco de este grupo. Según los atacantes, cifraron información de más de 37,000 usuarios y empleados. Este ataque no solo compromete la seguridad de estudiantes y personal, sino también datos académicos y administrativos clave. Un golpe directo a una institución que afecta a miles de personas.
Mabe: La conocida empresa de electrodomésticos tampoco se salvó. RansomHub amenazó con liberar datos confidenciales de sus clientes en México y Latinoamérica si no se pagaba el rescate. Lo preocupante es que esta información podría incluir datos personales y bancarios de miles de consumidores, lo que podría desencadenar aún más problemas, como fraudes o robos de identidad.
Estos ataques no solo muestran el alcance de RansomHub, sino que también dejan claro que ninguna organización, sin importar su tamaño o importancia, está completamente a salvo de los ciberdelincuentes.
RansomHub ha lanzado ataques en varios países alrededor del mundo, pero su principal blanco sigue siendo Estados Unidos.
Conoce más sobre: RansomHub Ataca UNAM: 37 Mil Usuarios Afectados por Secuestro de Datos
RansomHub se vende como un grupo bien organizado, con reglas claras para sus operaciones, pero eso no los hace menos peligrosos. De hecho, su nivel de sofisticación y control los vuelve una amenaza aún mayor. Su capacidad para meterse en sistemas de grandes organizaciones y su “código de ética” para evitar ciertos objetivos (que parece más marketing que moral) les ha dado notoriedad frente a otros grupos de ransomware.
Con cada ataque, RansomHub sigue creciendo y enfocándose en sectores estratégicos, convirtiéndose en una pesadilla para empresas de todo el mundo. Su modelo, que combina extorsión por beneficio económico y “protección” para quienes pagan, fomenta la cultura del rescate y pone en jaque a cualquier organización que no tenga una ciberseguridad robusta. Son el ejemplo perfecto de cómo el crimen digital evoluciona y se profesionaliza.
Es fundamental que las empresas cuenten con una estrategia de ciberseguridad sólida, que incluya monitoreo constante, backups regulares y capacitación para su personal, a fin de reducir riesgos y actuar rápidamente ante posibles amenazas. ¿Tu empresa está preparada para enfrentar un grupo de ransomware como este? Contáctanos y te ayudaremos a fortalecer tu ciberseguridad antes de que sea demasiado tarde.