Cárteles cibercriminales: la nueva amenaza global

octubre 09, 2025

Cárteles cibercriminales: la nueva amenaza global

Imagen: AndrejZT | https://www.deviantart.com/andrejzt

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

Es un hecho: el cibercrimen ha entrado en una nueva etapa de evolución. Los grupos criminales, antes rivales que competían por notoriedad y botines, han optado por una estrategia más peligrosa: la cooperación. Estas alianzas, que algunos expertos comparan con los cárteles del narcotráfico, están transformando el panorama global de la ciberseguridad. Hoy, las bandas no solo comparten infraestructura, técnicas y recursos, sino que coordinan ataques con una precisión que multiplica su capacidad de daño.

La más reciente evidencia de esta tendencia es la formación de un “cártel” de ransomware integrado por LockBit, Qilin y DragonForce, anunciado el 8 de octubre en el portal de filtraciones de este último. Bajo el lema de unir fuerzas “por el futuro de nuestro desafiante campo”, esta alianza busca desarrollar herramientas conjuntas, compartir infraestructura y expandir su influencia. LockBit, uno de los grupos de ransomware-as-a-service (RaaS) más reconocidos, encabeza la coalición tras relanzar su plataforma LockBit 5.0, un intento por recuperar su red luego del duro golpe sufrido en 2024 a manos de autoridades internacionales. Ese año, una operación conjunta entre Reino Unido y otros países desmanteló parte de su infraestructura, impuso sanciones a colaboradores rusos y reveló la identidad de su líder.

Por su parte, Qilin aporta su reputación tras un ataque reciente contra la empresa japonesa Asahi Breweries, mientras que DragonForce, que ofrece un modelo de ransomware en “etiqueta blanca”, actúa como catalizador al facilitar la plataforma de anuncio. Juntos, estos grupos combinan técnicas de cifrado, robo de datos y estrategias de doble extorsión, donde las víctimas no solo enfrentan el bloqueo de sus sistemas, sino también la amenaza de exposición pública. Esta coalición recuerda a la alianza entre LockBit y Maze en 2020, que marcó un punto de inflexión al popularizar este método de ataque. La unidad de investigación de SILIKN advierte que esta nueva unión podría perfeccionar aún más el modelo, haciendo los rescates prácticamente inevitables para las organizaciones vulneradas.

El fenómeno no se limita al ransomware. Otro frente preocupante surge con Crimson Collective, un grupo especializado en ataques de alto perfil que recientemente vulneró los sistemas de Red Hat Consulting, robando más de 28.000 repositorios y 570 GB de información sensible, incluyendo tokens y accesos de más de 5.000 empresas. Ahora, este grupo utiliza el portal en la dark web Scattered Lapsus$ Hunters para exigir un rescate antes del 10 de octubre. El mensaje es contundente: “570 GB de tus fallos listos para estallar”.

Scattered Lapsus$ Hunters, una fusión de fragmentos de Scattered Spider, Lapsus$ y Shiny Hunters, parecía haber desaparecido tras recientes arrestos, pero la alianza con Crimson demuestra su capacidad de reconfigurarse. Su modus operandi combina ingeniería social, como ataques de vishing a instancias de Salesforce, con explotación de credenciales filtradas en plataformas cloud como AWS. Mientras Crimson aporta experiencia en entornos de nube, Lapsus$ suma su historial de filtraciones masivas, generando un ecosistema donde cada brecha alimenta nuevas extorsiones. Un representante anónimo de Crimson confirmó esta cooperación, subrayando su preferencia por la extorsión sin usar ransomware, lo que agiliza sus operaciones y minimiza riesgos.

Estas alianzas reflejan un cambio estructural en el cibercrimen. Lejos de fragmentarse por las operaciones policiales o las sanciones económicas, los actores criminales se adaptan mediante redes flexibles que comparten inteligencia, recursos y canales de monetización. El resultado es un “efecto multiplicador”: un ataque que antes afectaba a una sola víctima ahora puede desencadenar campañas coordinadas que presionan a múltiples organizaciones simultáneamente, sincronizando plazos y amenazas públicas.

Las consecuencias son profundas. Para corporaciones como Red Hat o Asahi, las pérdidas no se limitan al rescate económico — que puede alcanzar millones de dólares — , sino que se extienden al daño reputacional y al riesgo de comprometer a socios y clientes.

La unidad de investigación de SILIKN advierte que estas coaliciones criminales operan bajo una lógica similar a los cárteles tradicionales: centralizan poder, atraen afiliados y sofisticación técnica, y elevan la escala del riesgo global.

Ante esta realidad, la defensa cibernética debe evolucionar con la misma velocidad. Entre las medidas urgentes, la unidad de investigación de SILIKN recomienda implementar certificados basados en dispositivos, restringir el uso de credenciales mediante políticas IAM más estrictas, y realizar escaneos proactivos de secretos en código. También se sugiere limitar accesos remotos a IPs confiables, reforzar la seguridad en endpoints, y aplicar parches prioritarios en sistemas vulnerables como RDP y GitLab.

En un escenario donde los cibercriminales han entendido que la colaboración multiplica su poder, las organizaciones deben responder con la misma estrategia. Fortalecer la inteligencia compartida, fomentar la cooperación entre sectores y construir una resiliencia colectiva ya no son opciones, sino necesidades urgentes. Esta nueva etapa del crimen digital deja claro que las amenazas no prosperan en aislamiento, sino a través de alianzas cada vez más coordinadas.

Para más información, visite: https://www.silikn.com/