Las soluciones de seguridad mal gestionadas pueden abrir la puerta al desastre
Imagen: Andrejzt | https://www.deviantart.com/andrejzt
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.
El grupo de ransomware Akira ha intensificado su ofensiva contra organizaciones de todos los tamaños al explotar fallas presentes en dispositivos SonicWall, dejando en evidencia que incluso las herramientas diseñadas para proteger pueden convertirse en un punto vulnerable cuando no se administran adecuadamente. La campaña más reciente ha puesto en la mira a empresas que integran infraestructuras heredadas tras procesos de fusiones y adquisiciones, donde equipos originalmente destinados a pequeñas y medianas compañías terminan incorporándose a redes corporativas complejas sin la supervisión necesaria.
El eje de estos ataques está en una vulnerabilidad crítica catalogada como CVE-2024–40766, un error de control de acceso dentro del sistema VPN SSL de SonicWall. Aunque la compañía corrigió el problema en agosto de 2024, numerosos entornos permanecieron expuestos por falta de actualización o por configuraciones deficientes, dejando abiertas puertas que los atacantes no tardaron en aprovechar. Desde mediados de 2025 se ha observado un incremento notable de incidentes en los que accesos maliciosos a través de la VPN derivan rápidamente en la ejecución de ransomware, en ocasiones en cuestión de minutos.
Uno de los aspectos más preocupantes es la capacidad del grupo para evadir mecanismos considerados confiables. En múltiples casos, los ciberdelincuentes lograron comprometer cuentas protegidas con autenticación multifactor, al parecer mediante el robo de semillas utilizadas para generar códigos OTP, lo que les permitió generar accesos válidos y sortear con éxito esa capa de seguridad.
A este panorama se suma un segundo vector de riesgo asociado a procesos de fusión y adquisición empresarial. Con frecuencia, los nuevos propietarios no revisan a fondo los equipos heredados, dejando activos sin monitoreo, cuentas privilegiadas olvidadas, configuraciones obsoletas y dispositivos sin parches. Esa falta de visibilidad crea un entorno ideal para que operaciones como la de Akira encuentren puntos débiles y avancen sin obstáculos.
Este escenario expone una realidad contundente: la seguridad no depende solo de las herramientas, sino de su gestión. La correcta administración del ciclo de vida de los dispositivos, la aplicación oportuna de parches, la auditoría periódica de credenciales y la supervisión activa de la configuración resultan esenciales. Para las áreas de TI y seguridad, la recomendación es clara: antes de integrar cualquier infraestructura heredada, es necesario revisar cada equipo, rotar contraseñas, fortalecer accesos y segmentar adecuadamente la red.
Para empresas de cualquier tamaño — desde pequeñas y medianas compañías hasta grandes corporativos — el mensaje es urgente. Confiar en soluciones de acceso remoto sin un programa estricto de mantenimiento puede convertirse en una vulnerabilidad crítica. El caso SonicWall–Akira muestra con contundencia que la seguridad no se sostiene con marcas reconocidas, sino con gobernanza, disciplina operativa y control continuo.
Akira no es un actor aislado. Se trata de una operación de ransomware tipo servicio (RaaS) activa desde marzo de 2023, que rápidamente escaló hasta convertirse en una de las amenazas más peligrosas del panorama global. Sus operadores, con indicios de ser rusoparlantes, muestran conexiones técnicas con el desaparecido grupo Conti, desde el uso de rutinas de cifrado hasta billeteras de criptomonedas vinculadas a aquella agrupación, aunque no se trata de una reencarnación directa.
El grupo emplea un modelo de doble extorsión: antes de cifrar los sistemas roba grandes volúmenes de información sensible y luego exige pagos tanto para descifrar los datos como para evitar su difusión pública. Hasta ahora ha afectado a más de 350 organizaciones en América del Norte, Europa y Australia, impactando sectores como salud, manufactura, energía, educación, finanzas y servicios. Entre sus víctimas destacan compañías multinacionales, instituciones académicas y proveedores de infraestructura crítica. En México, sus ataques han alcanzado a empresas de diferentes industrias, como Recycla, Adrenalina, Corporación BJR, Peñoles, Alpura y AARCO.
Sus métodos de entrada más comunes incluyen la explotación de VPN sin autenticación multifactor, el uso de credenciales comprometidas, vulnerabilidades en plataformas de respaldo y fallos en entornos de virtualización. Una vez dentro, utilizan herramientas legítimas del sistema para desplazarse lateralmente, eliminar copias de seguridad y ejecutar el cifrado tanto en sistemas Windows como Linux o ESXi, tras lo cual exfiltran información a sus propios servidores.
Akira también destaca por su plataforma en la dark web, con una estética retro y portales de negociación individual para cada víctima, donde publica extractos de datos robados y establece las condiciones de extorsión, con demandas que suelen ascender a varios millones de dólares. Se estima que hasta 2024 habían acumulado al menos 42 millones de dólares en pagos ilícitos.
Aunque existen desencriptadores públicos para algunas variantes del malware, Akira continúa operando con fuerza en 2025, beneficiándose de la disminución de otros grupos competidores. Autoridades internacionales consideran a esta operación un riesgo significativo y recomiendan medidas urgentes como parches inmediatos, autenticación multifactor obligatoria, respaldos offline y monitoreo constante de posibles exfiltraciones.
Para más información, visite: https://www.silikn.com/
El grupo de ransomware Akira ha intensificado su ofensiva contra organizaciones de todos los tamaños al explotar fallas presentes en dispositivos SonicWall, dejando en evidencia que incluso las herramientas diseñadas para proteger pueden convertirse en un punto vulnerable cuando no se administran adecuadamente. La campaña más reciente ha puesto en la mira a empresas que integran infraestructuras heredadas tras procesos de fusiones y adquisiciones, donde equipos originalmente destinados a pequeñas y medianas compañías terminan incorporándose a redes corporativas complejas sin la supervisión necesaria.
El eje de estos ataques está en una vulnerabilidad crítica catalogada como CVE-2024–40766, un error de control de acceso dentro del sistema VPN SSL de SonicWall. Aunque la compañía corrigió el problema en agosto de 2024, numerosos entornos permanecieron expuestos por falta de actualización o por configuraciones deficientes, dejando abiertas puertas que los atacantes no tardaron en aprovechar. Desde mediados de 2025 se ha observado un incremento notable de incidentes en los que accesos maliciosos a través de la VPN derivan rápidamente en la ejecución de ransomware, en ocasiones en cuestión de minutos.
Uno de los aspectos más preocupantes es la capacidad del grupo para evadir mecanismos considerados confiables. En múltiples casos, los ciberdelincuentes lograron comprometer cuentas protegidas con autenticación multifactor, al parecer mediante el robo de semillas utilizadas para generar códigos OTP, lo que les permitió generar accesos válidos y sortear con éxito esa capa de seguridad.
A este panorama se suma un segundo vector de riesgo asociado a procesos de fusión y adquisición empresarial. Con frecuencia, los nuevos propietarios no revisan a fondo los equipos heredados, dejando activos sin monitoreo, cuentas privilegiadas olvidadas, configuraciones obsoletas y dispositivos sin parches. Esa falta de visibilidad crea un entorno ideal para que operaciones como la de Akira encuentren puntos débiles y avancen sin obstáculos.
Este escenario expone una realidad contundente: la seguridad no depende solo de las herramientas, sino de su gestión. La correcta administración del ciclo de vida de los dispositivos, la aplicación oportuna de parches, la auditoría periódica de credenciales y la supervisión activa de la configuración resultan esenciales. Para las áreas de TI y seguridad, la recomendación es clara: antes de integrar cualquier infraestructura heredada, es necesario revisar cada equipo, rotar contraseñas, fortalecer accesos y segmentar adecuadamente la red.
Para empresas de cualquier tamaño — desde pequeñas y medianas compañías hasta grandes corporativos — el mensaje es urgente. Confiar en soluciones de acceso remoto sin un programa estricto de mantenimiento puede convertirse en una vulnerabilidad crítica. El caso SonicWall–Akira muestra con contundencia que la seguridad no se sostiene con marcas reconocidas, sino con gobernanza, disciplina operativa y control continuo.
Akira no es un actor aislado. Se trata de una operación de ransomware tipo servicio (RaaS) activa desde marzo de 2023, que rápidamente escaló hasta convertirse en una de las amenazas más peligrosas del panorama global. Sus operadores, con indicios de ser rusoparlantes, muestran conexiones técnicas con el desaparecido grupo Conti, desde el uso de rutinas de cifrado hasta billeteras de criptomonedas vinculadas a aquella agrupación, aunque no se trata de una reencarnación directa.
El grupo emplea un modelo de doble extorsión: antes de cifrar los sistemas roba grandes volúmenes de información sensible y luego exige pagos tanto para descifrar los datos como para evitar su difusión pública. Hasta ahora ha afectado a más de 350 organizaciones en América del Norte, Europa y Australia, impactando sectores como salud, manufactura, energía, educación, finanzas y servicios. Entre sus víctimas destacan compañías multinacionales, instituciones académicas y proveedores de infraestructura crítica. En México, sus ataques han alcanzado a empresas de diferentes industrias, como Recycla, Adrenalina, Corporación BJR, Peñoles, Alpura y AARCO.
Sus métodos de entrada más comunes incluyen la explotación de VPN sin autenticación multifactor, el uso de credenciales comprometidas, vulnerabilidades en plataformas de respaldo y fallos en entornos de virtualización. Una vez dentro, utilizan herramientas legítimas del sistema para desplazarse lateralmente, eliminar copias de seguridad y ejecutar el cifrado tanto en sistemas Windows como Linux o ESXi, tras lo cual exfiltran información a sus propios servidores.
Akira también destaca por su plataforma en la dark web, con una estética retro y portales de negociación individual para cada víctima, donde publica extractos de datos robados y establece las condiciones de extorsión, con demandas que suelen ascender a varios millones de dólares. Se estima que hasta 2024 habían acumulado al menos 42 millones de dólares en pagos ilícitos.
Aunque existen desencriptadores públicos para algunas variantes del malware, Akira continúa operando con fuerza en 2025, beneficiándose de la disminución de otros grupos competidores. Autoridades internacionales consideran a esta operación un riesgo significativo y recomiendan medidas urgentes como parches inmediatos, autenticación multifactor obligatoria, respaldos offline y monitoreo constante de posibles exfiltraciones.
Para más información, visite: https://www.silikn.com/