Después de varios meses de silencio tras el golpe que le dio la Operación Cronos a principios de 2024, LockBit (una de las bandas de ransomware más activas y peligrosas del mundo) ha vuelto al juego. Y no lo ha hecho de cualquier manera.
A pesar de que las autoridades habían logrado desmantelar parte de su infraestructura y frenar su actividad, el grupo liderado por el conocido LockBitSupp ha logrado reorganizarse, reconstruir su operación desde cero y lanzar una nueva y más avanzada versión: LockBit 5.0, también conocida internamente como "ChuongDong".
Esta nueva variante marca un paso adelante en la evolución del ransomware. Con técnicas más sofisticadas y la capacidad de atacar múltiples plataformas, LockBit 5.0 apunta directamente a organizaciones que operan con sistemas Windows, Linux y ESXi.
Durante septiembre de 2025, LockBit demostró que su regreso no es solo humo. En tan solo unas semanas, la nueva campaña logró comprometer a una docena de organizaciones distribuidas en Europa Occidental, América y Asia.
De esos ataques, la mitad se llevaron a cabo con la recién estrenada variante LockBit 5.0, mientras que el resto utilizó LockBit Black, una versión anterior aún activa.
Lo más preocupante: cerca del 80% de los ataques afectaron a sistemas Windows, lo que no sorprende dado su uso masivo en entornos corporativos. El otro 20% fue dirigido a sistemas ESXi y Linux, lo que demuestra que LockBit continúa expandiendo su alcance técnico y su flexibilidad para adaptarse a distintos entornos.
Según investigadores de Check Point, esta oleada de ataques es una clara señal de que el modelo Ransomware-as-a-Service (RaaS) de LockBit sigue muy vigente. De hecho, lo que estamos viendo es una reorganización exitosa de su red de afiliados.
A principios de septiembre, LockBitSupp hizo su reaparición en foros clandestinos anunciando que volvían. Pero esta vez con nuevas reglas: para unirse al programa y obtener acceso al panel de control y a las herramientas de cifrado, los nuevos afiliados deben pagar un depósito de 500 dólares en Bitcoin.
Este movimiento no solo permite filtrar candidatos serios, sino que también financia la infraestructura del grupo. Y lo está logrando: en pocas semanas, el ransomware volvió a operar con fuerza y efectividad.
Pantalla de registro de afiliado de LockBit 5.0 (Fuente: Check Point)
LockBit 5.0 no solo es una nueva versión con nombre llamativo: viene cargado con mejoras técnicas que lo hacen más peligroso, eficiente y difícil de detectar que nunca.
Una de las actualizaciones más importantes es su compatibilidad multiplataforma. Ahora cuenta con versiones especialmente diseñadas para atacar sistemas Windows, Linux y servidores ESXi, lo que le permite adaptarse a diferentes tipos de infraestructuras empresariales con facilidad.
Una de las principales mejoras es la optimización de sus rutinas de cifrado. LockBit 5.0 puede cifrar archivos a una velocidad mucho mayor que sus versiones anteriores, lo que significa que los equipos de seguridad tienen menos tiempo para detectar y detener el ataque antes de que cause daños graves.
Este cifrado exprés hace que muchas soluciones de seguridad tradicionales simplemente no alcancen a reaccionar a tiempo.
LockBit 5.0 también ha mejorado su capacidad para evadir mecanismos de detección, especialmente los basados en firmas. Para lograrlo, ahora utiliza extensiones de archivo aleatorias de 16 caracteres, lo que dificulta que los antivirus y herramientas forenses reconozcan patrones claros.
Además, se han incorporado funciones antianálisis más avanzadas, que bloquean intentos de ingeniería inversa y complican el trabajo de los investigadores que analizan el malware. En pocas palabras, entender cómo funciona LockBit 5.0 ahora es mucho más complicado, lo que retrasa las defensas y prolonga su tiempo de acción.
Cada ataque con LockBit 5.0 deja una nota de rescate actualizada que se identifica claramente con el nombre de la variante. Estas notas incluyen enlaces personalizados para negociar con los atacantes y un plazo límite: 30 días para pagar, o los datos robados serán publicados.
Este tipo de presión no solo busca sacar dinero rápidamente, sino que también pone a las organizaciones contra la pared desde el primer momento, aprovechando el miedo al daño reputacional y a las sanciones legales por filtraciones de datos.
Podría interesarte leer: Ransomware 2025: Estadísticas, Costos y Cómo Proteger tu Empresa
Con LockBit 5.0 atacando activamente y demostrando capacidades cada vez más sofisticadas, reforzar la ciberseguridad ya no es opcional, es una necesidad urgente. Para muchas organizaciones, especialmente aquellas que no cuentan con grandes equipos de TI, tener un plan de defensa claro puede marcar la diferencia entre una interrupción menor y una catástrofe operativa.
Estas son algunas acciones clave que toda empresa debería considerar:
Actualizaciones constantes: mantener todos los sistemas y software actualizados ayuda a cerrar vulnerabilidades que los atacantes suelen explotar.
Copias de seguridad efectivas: realizar backups frecuentes, almacenarlos fuera de línea o en la nube con acceso restringido, y verificar regularmente su integridad es fundamental para una recuperación rápida.
Segmentación de redes: limitar los permisos y dividir la red en segmentos independientes puede frenar el avance del ransomware dentro de la infraestructura.
Capacitación del personal: la mayoría de los ataques comienzan con un error humano. Invertir en concienciación y formación en ciberseguridad puede prevenir muchos incidentes.
Herramientas de detección temprana: implementar soluciones como EDR (Endpoint Detection and Response) o XDR ayuda a identificar comportamientos anómalos antes de que el daño sea irreversible.
Planes de respuesta ante incidentes: tener un protocolo claro de actuación permite actuar rápido, minimizar pérdidas y cumplir con los requisitos legales y regulatorios en caso de ataque.
Además de las buenas prácticas, contar con socios tecnológicos confiables puede elevar el nivel de protección de forma significativa. Por ejemplo, en TecnetOne ofrecemos un ecosistema de soluciones diseñado para enfrentar amenazas como LockBit 5.0 de forma proactiva:
TecnetProtect, basado en la tecnología líder de Acronis, proporciona una solución integral de protección de datos con respaldo, recuperación ante desastres y defensa activa contra ransomware. Ideal para organizaciones que buscan una alternativa moderna, automatizada y altamente eficaz para mantener sus sistemas y archivos a salvo.
SOC as a Service (Centro de Operaciones de Seguridad como servicio) de TecnetOne permite a las empresas contar con monitoreo 24/7, análisis de amenazas y alertas tempranas sin necesidad de montar una infraestructura propia. Este servicio reduce el tiempo de respuesta ante incidentes y mejora la postura de seguridad en general.
En caso de ataque, el servicio de respuesta a incidentes de TecnetOne ayuda a contener, investigar y remediar rápidamente el problema, minimizando el impacto operativo y reduciendo el tiempo de inactividad.
Estas soluciones no solo están diseñadas para prevenir ataques, sino también para garantizar continuidad operativa y una recuperación rápida, dos elementos clave frente al ransomware moderno.
El regreso de LockBit 5.0 es una señal clara de que los grupos de ransomware no desaparecen fácilmente. Aunque las fuerzas del orden logren interrumpir sus operaciones, muchos de estos grupos tienen la capacidad de reorganizarse, aprender de sus errores y volver más fuertes.
La clave para las organizaciones es no bajar la guardia. Estar preparados, invertir en ciberseguridad y formar al personal es más crucial que nunca. Y si además se cuenta con el respaldo de expertos como los de TecnetOne, las posibilidades de resistir y recuperarse ante un ataque aumentan de forma considerable.