El grupo de ransomware The Gentlemen ha desarrollado una de las operaciones cibercriminales más agresivas de los últimos años. Tras surgir públicamente en la segunda mitad de 2025, escalaron rápidamente su actividad hasta convertirse, a principios de 2026, en una de las dos amenazas de ransomware más activas a nivel mundial.

Un grupo de ransomware llamado The Gentlemen ha estado construyendo silenciosamente una de las operaciones cibercriminales más agresivas vistas en los últimos años.

Saliendo a la luz públicamente en la segunda mitad de 2025, el grupo escaló rápidamente su actividad hasta convertirse en una de las dos amenazas de ransomware más activas a nivel mundial para principios de 2026.

Lo que hace que este grupo destaque no es solo su velocidad, sino la amplitud de los sistemas que ataca y la escala a la que ha crecido.

El grupo ha demostrado capacidad contra una amplia gama de entornos empresariales, incluidos sistemas Windows, Linux, NAS, BSD y VMware ESXi.

Sus ataques siguen un flujo de trabajo bien organizado, desde obtener el acceso inicial a través de credenciales robadas o servicios remotos expuestos, hasta el despliegue de ransomware en redes enteras.

El grupo también roba datos antes de bloquear los sistemas, utilizando esa información robada como una palanca adicional para presionar a las víctimas para que paguen.

Analistas de LevelBlue dijeron en un informe compartido con Cyber Security News (CSN) que The Gentlemen no es una operación completamente nueva.

Parece ser una continuación de la actividad previa de afiliados de ransomware vinculada al ecosistema Qilin, presuntamente gestionada por un actor de habla rusa conocido como “hastalamuerte”.

Este antecedente le da al grupo una ventaja, con conocimientos existentes, redes de afiliados y experiencia operativa ya implementada.

Ransomware The Gentlemen

Para el 10 de mayo de 2026, el grupo había reclamado públicamente 352 ataques solo en la primera mitad incompleta del año.

Los datos del sitio de filtraciones muestran divulgaciones de víctimas en más de 70 países, con una fuerte representación de APAC, Europa, América Latina y América del Norte.

Los servicios profesionales, la manufactura, la tecnología y la salud representan la mayor parte de las víctimas conocidas.

El monitoreo de la dark web también reveló una pista de inteligencia no verificada que involucra a alguien ofreciendo datos presuntamente tomados de los propios sistemas internos de The Gentlemen por 10,000 dólares en Bitcoin.

El material ofrecido incluía lo que parecían ser alias de los actores, contenido de negociaciones con víctimas y datos de mapeo de archivos. Aunque esto aún no puede confirmarse como auténtico, añade una capa importante a una operación ya de por sí compleja.

El ransomware de The Gentlemen está diseñado para atacar múltiples sistemas operativos en una sola campaña.

La versión de Windows está construida utilizando el lenguaje de programación Go y requiere una contraseña al ejecutarse, lo que ayuda al grupo a evitar la detección temprana y el análisis en sandbox.

Los archivos cifrados reciben extensiones aleatorias de seis caracteres, y los sistemas afectados quedan con una nota de rescate llamada READMEGENTLEMEN.txt.

El enfoque de cifrado está diseñado para maximizar el daño lo más rápido posible. Los archivos más pequeños se cifran completamente, mientras que los archivos más grandes solo se cifran parcialmente en bloques, lo que permite que el ransomware se desplace por entornos grandes más rápidamente y, al mismo tiempo, haga que la recuperación sea extremadamente difícil sin un descifrador.

Antes de bloquear los archivos, el malware detiene primero los servicios relacionados con bases de datos, copias de seguridad, plataformas de virtualización y herramientas de acceso remoto para evitar una restauración sencilla.

Atacar ESXi y la infraestructura de virtualización es particularmente dañino, ya que puede derribar parques de servidores enteros en cuestión de minutos.

El panel de afiliados del grupo respalda este modelo permitiendo a los operadores generar cargas útiles personalizadas, gestionar negociaciones con las víctimas, estimar los ingresos por rescates y manejar la carga de datos robados desde un único backend estructurado.

Estrategia de Extorsión y Guía de Defensa

El modelo de ataque de The Gentlemen no se detiene en el cifrado de archivos. El grupo utiliza los datos robados como parte central de su estrategia de presión, amenazando con publicar archivos confidenciales en su sitio de filtraciones si las víctimas se niegan a pagar.

Incluso las organizaciones que restauran sus sistemas mediante copias de seguridad pueden enfrentarse a la exposición de datos, consecuencias regulatorias y un daño reputacional duradero.

Los equipos de seguridad deberían comenzar revisando toda la infraestructura orientada a Internet, especialmente las VPN, los firewalls y los portales de acceso remoto, y aplicar la autenticación de múltiples factores en todas las cuentas privilegiadas.

Las credenciales expuestas a través de brechas anteriores o robadas por malware de robo de información deben rotarse inmediatamente, y las cuentas inactivas deben desactivarse.

Los investigadores de LevelBlue recomiendan buscar comportamientos de ataque en etapas tempranas en lugar de esperar a que aparezca el ransomware.

Las señales clave incluyen inicios de sesión administrativos inusuales, herramientas de escaneo como Nmap o Advanced IP Scanner, el uso inesperado de AnyDesk o WinSCP, y cualquier signo de modificación de Directivas de Grupo o cierres masivos de servicios.

Los sistemas de copia de seguridad y los entornos ESXi deben estar aislados del dominio principal y probarse regularmente para verificar la capacidad de restauración.

Indicadores de Compromiso (IoCs):-

Nota: Las direcciones IP y los dominios han sido deliberadamente desactivados (ej. [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.