ESET advierte sobre The Gentlemen, un modelo de Ransomware as a Service que utiliza ataques personalizados y doble extorsión para golpear a entidades de la región.
El panorama de la ciberseguridad en Latinoamérica enfrenta un desafío sin precedentes con la consolidación de The Gentlemen, un grupo de ransomware que ha transformado el cibercrimen en una operación de alta precisión. Desde su irrupción a mediados de 2025, esta organización ha demostrado que los ataques masivos y aleatorios están dando paso a campañas dirigidas, ultra-adaptativas y sumamente detallistas que ya han afectado a más de 250 víctimas en 17 países.
A diferencia de otras bandas criminales con estéticas descuidadas, este grupo destaca por una identidad de marca pulida y un profesionalismo técnico que se refleja en cada etapa de su intrusión. Martina Lopez, investigadora de seguridad informática de ESET, explica que se trata de un modelo de Ransomware as a Service (Raas) que no solo busca cifrar datos, sino que estudia minuciosamente las defensas de su objetivo para superarlas.
Un modelo operativo basado en la doble extorsión
La principal arma de The Gentlemen es la doble extorsión. En esta modalidad, los atacantes no se limitan a bloquear el acceso a los archivos de la empresa mediante el cifrado; antes de realizar esa acción, exfiltran información confidencial hacia servidores externos. Una vez que poseen estos datos sensibles, presionan a las organizaciones con la amenaza de publicarlos en su sitio de filtraciones de la dark web si no se realiza el pago del rescate.
El proceso de ataque suele ser metódico. Comienza aprovechando accesos expuestos en internet o mediante el uso de credenciales robadas previamente. Una vez dentro de la red, los criminales despliegan herramientas para identificar usuarios con privilegios elevados y comprender la estructura interna de la compañía. Según los análisis de ESET, el grupo utiliza herramientas que permiten ejecutar acciones de forma remota en múltiples equipos simultáneamente, debilitando los mecanismos de seguridad y facilitando el control total antes de ejecutar el cifrado final.
Impacto en la región y sectores críticos
Desde su primera víctima documentada el 30 de junio de 2025, The Gentlemen ha mantenido una actividad incesante. Aunque su impacto es global, con Estados Unidos y Tailandia a la cabeza, Latinoamérica se ha convertido en un blanco prioritario. Países como México, Colombia, Chile y Argentina figuran entre los más afectados.
En Colombia, por ejemplo, a mediados de marzo de 2026 se reportaron ataques a organizaciones de atención médica y medios de comunicación. En Argentina, durante febrero, el objetivo fue un instituto de investigación científica gubernamental, mientras que en Chile se reclamó un ataque contra un organismo estatal en marzo. Otros países de la región como Brasil, Perú, Ecuador y Venezuela también han registrado víctimas de este grupo, que parece atacar según las oportunidades de acceso que encuentra, sin una agenda geopolítica evidente.
Los sectores más vulnerables incluyen la manufactura, salud, servicios financieros, seguros y construcción. Martina Lopez señala la gravedad de esta tendencia: “En un escenario donde los ataques ya no son masivos sino personalizados, la pregunta deja de ser si una organización puede ser objetivo, y pasa a ser cuándo. Entender cómo operan grupos como The Gentlemen es el primer paso para anticiparse a una amenaza que ya no avisa.”
Recomendaciones para la prevención
Para enfrentar esta amenaza, los expertos recomiendan reducir la exposición en internet cerrando paneles de administración innecesarios y proteger las credenciales mediante el uso de contraseñas robustas junto al doble factor de autenticación. Asimismo, es fundamental mantener los sistemas actualizados con los últimos parches de seguridad, ya que muchas intrusiones explotan vulnerabilidades conocidas.
Otras medidas críticas incluyen la segmentación de la red para evitar el movimiento lateral de los atacantes, limitar los privilegios de los usuarios y realizar copias de seguridad (backups) periódicas que se almacenen de forma aislada. Finalmente, la capacitación del equipo humano sigue siendo esencial, pues el error involuntario continúa siendo una de las principales puertas de entrada para el ransomware.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
