El Ataque de LockBit y su Impacto en la Seguridad Cibernética
La Sociedad Hipotecaria Federal (SHF) ha sido objeto de un presunto ataque informático, atribuido al ransomware LockBit. Este incidente ha puesto de manifiesto la creciente amenaza que representan los grupos de ransomware como servicio (RaaS) y cómo estos operan a nivel global.
¿Qué es LockBit?
LockBit es una familia de ransomware que opera bajo un modelo de negocio innovador: ransomware como servicio (RaaS). En este esquema, un equipo central desarrolla y mantiene el malware y su infraestructura, mientras que afiliados externos se encargan de ejecutar los ataques reales, robando información, cifrando sistemas y exigiendo pagos por su descifrado.
Este modelo, conocido como “ransomware as a service” (RaaS), permite que incluso individuos con menos experiencia técnica puedan participar en campañas de ransomware, ampliando la base de atacantes capaces de llevar a cabo estos ataques.
¿Qué es Ransomware?
Un ransomware cifra archivos y sistemas, volviéndolos inaccesibles para la víctima, y exige un pago (rescate) a cambio de una clave de descifrado. LockBit se ha destacado por su velocidad, eficiencia operativa y estrategia basada en el cifrado.
El Instituto Nacional de Ciberseguridad de España (Incibe) ha destacado que LockBit es una familia de ransomware altamente configurable, con técnicas avanzadas de evasión y antianálisis, además de incorporar esquemas de doble y triple extorsión. Esto significa que los atacantes buscan múltiples vías para presionar a la víctima: detener el ataque al cifrar y amenazar con divulgar los datos robados si no se paga.
El Modelo de Negocio de LockBit
LockBit no es un grupo único, sino una franquicia criminal. El desarrollador central crea y mantiene el malware, mientras que los afiliados se encargan de la intrusión y ejecución del ataque. El dinero se divide entre el equipo central y los operadores afiliados, lo que explica por qué LockBit aparece en incidentes con perfiles muy diversos.
Esta estructura permite que la misma “marca” LockBit esté detrás de ataques con diferentes puntos de entrada y herramientas, ya que cada afiliado entra a la organización por el camino más accesible.
Cómo Entra LockBit en una Organización
Los afiliados de LockBit suelen utilizar rutas comunes para acceder a las organizaciones. El acceso inicial se da principalmente por:
- Phishing para robo de credenciales.
- Abuso de cuentas válidas ya existentes.
- Servicios remotos expuestos como RDP (Remote Desktop Protocol).
El análisis de agencias de ciberseguridad como la CISA y el FBI en Estados Unidos, el Centro Nacional de Ciberseguridad del Reino Unido y la Oficina Federal de Seguridad de la Información de Alemania, han documentado estas tácticas.
Una vez dentro, el patrón operativo es consistente: reconocimiento de red, movimiento lateral y exfiltración previa de información, seguido del cifrado final. Se utilizan herramientas legítimas de administración y salida de datos hacia servicios en la nube.
Etapa Final: Cifrado y Amenaza de Filtración
El cifrado suele ocurrir cuando el atacante ha identificado los servidores, respaldos y sistemas clave para la operación. En esta fase previa, LockBit busca controlar el acceso administrativo y bloquear las rutas de recuperación.
Primero, intenta elevar privilegios para ejecutar con permisos altos. Luego busca debilitar la defensa y la recuperación. Los investigadores han documentado la detención de servicios y cambios en el registro vinculados con componentes de seguridad y mecanismos relacionados con copias sombra, además de la eliminación de shadow copies.
Después activa el cifrado y deja notas de rescate. En el comportamiento descrito para LockBit, el malware recorre directorios y va depositando la nota en múltiples ubicaciones con un esquema repetitivo por carpeta.
En paralelo, el “builder” de LockBit permite ajustar exclusiones, terminar procesos, cifrar recursos compartidos de red y activar acciones de impacto como cambios visuales o limpieza de rastros.
Doble Extorsión y el Rol de la Filtración
La publicación o amenaza de publicación de datos explica por qué muchos casos se narran en gigabytes, plazos y carpetas. En la doble extorsión, el atacante roba información primero y cifra después; además de usar la amenaza de divulgar para presionar el pago.
En el caso de LockBit, el gobierno de Estados Unidos lo ha descrito como un ransomware que acostumbra exfiltrar datos antes del cifrado para sostener la extorsión.
Golpe a LockBit
En 2024, LockBit fue objeto de una ofensiva internacional. El Departamento de Justicia de Estados Unidos informó de una operación conjunta con Reino Unido y socios internacionales que llevó a la incautación de infraestructura, afectación a sitios usados para extorsión y desarrollo de capacidades de descifrado para víctimas.
En Australia, la Policía Federal reportó que la operación afectó infraestructura crítica del grupo, con el congelamiento de más de 200 cuentas de criptomonedas y detenciones de presuntos actores en Polonia y Ucrania.
A pesar del golpe, la actividad de LockBit continuó en 2025, con foco multiplataforma y mejoras de evasión y ofuscación. Esto demuestra la capacidad del grupo para adaptarse y seguir operando incluso después de desmantelamientos parciales.
¿Qué Significa Esto para Organizaciones como la SHF?
Un ataque de ransomware no es solo un problema de TI. Es un riesgo operativo, legal y reputacional con impacto en la continuidad de servicios y exposición de datos personales y financieros. La economía del ransomware está diseñada para presionar incluso cuando hay respaldo.
Una encuesta global de CrowdStrike reportó que 78% de organizaciones sufrió algún ataque en el último año, con una brecha entre la percepción de preparación y la realidad de recuperación. También encontró que pagar rescate no garantiza salida.
¿Qué Hacer Contra LockBit?
La respuesta a un ataque de ransomware LockBit se divide en dos tiempos: contención inmediata y reducción de exposición futura.
- Contención Inmediata: Aislar sistemas afectados, frenar la propagación en la red, preservar la evidencia para la investigación y activar la respuesta a incidentes.
- Reducción de Exposición Futura: Cortar accesos iniciales comunes (navegadores en sandbox, endurecer accesos remotos, elevar el control sobre cuentas válidas, acelerar parches en sistemas expuestos y reducir la superficie de administración remota).
En México, el presunto hackeo a la Sociedad Hipotecaria Federal muestra un patrón que ya se repite a escala global. Los ataques de ransomware no dependen de una falla extraordinaria, sino de accesos iniciales comunes que se mantienen abiertos.
