El panorama global del ransomware cambió significativamente en el primer trimestre de 2026, debido a que exoperadores de grupos criminales reconocidos comenzaron a lanzar sus propios programas competidores. Se registraron 2,122 nuevas víctimas, lo que representa el segundo total más alto para un primer trimestre en la historia, demostrando que el negocio del ransomware persiste a pesar de las acciones policiales.

El panorama global del ransomware cambió notablemente en el primer trimestre de 2026, ya que antiguos operadores de grupos criminales muy conocidos comenzaron a lanzar sus propios programas competidores.

Los sitios de filtración de datos rastrearon 2.122 nuevas víctimas durante el primer trimestre de 2026, convirtiéndolo en el segundo total más alto para un primer trimestre en el registro. A pesar de años de acción sostenida por parte de las fuerzas del orden, el negocio del ransomware claramente no se está deteniendo.

Dos nuevos programas de ransomware como servicio (RaaS), Hyflock y The Gentlemen, surgieron como las entradas más comentadas del trimestre. Ambos aparecieron en rápida sucesión en mayo de 2026, con operadores reclutando públicamente afiliados en foros conocidos de la dark web.

Lo que hizo notables sus llegadas fue el linaje que reclamaban: conexiones directas con LockBit y Qilin, dos de los grupos de ransomware más activos en la historia reciente.

Flare dijo en un informe  que los operadores que afirman tener experiencia previa en LockBit y Qilin están lanzando ahora programas independientes, trasladando el conocimiento institucional de la infraestructura de cifrado, la negociación de rescates y la gestión de afiliados a emprendimientos criminales totalmente nuevos.

Flare señaló que, aunque estas afirmaciones de linaje son autoinformadas y no pueden verificarse de forma independiente, el detalle operativo en las publicaciones de reclutamiento sugiere una experiencia que es muy difícil de fingir.

El trasfondo es la Operación Cronos, la acción de las fuerzas del orden que incautó la infraestructura de LockBit en febrero de 2024. Ese derribo dispersó a un gran grupo de afiliados cualificados que eran, esencialmente, contratistas independientes sin ningún lugar a donde ir.

Dos años después, parece que esos contratistas se han reagrupado y ahora están construyendo sus propias operaciones en lugar de esperar a que las antiguas se recuperen.

Los datos del primer trimestre de 2026 también revelan un mercado que se está consolidando rápidamente en torno a un número menor de actores dominantes.

Los 10 grupos principales representaron el 71% de todas las víctimas registradas en el trimestre, un fuerte contraste con la actividad fragmentada observada hace solo dos trimestres. Qilin lideró con 338 víctimas, mientras que LockBit 5.0 regresó al cuarto lugar con 163.

Ecosistema de Ransomware

El RaaS de The Gentlemen creció de 40 víctimas en el cuarto trimestre de 2025 a 166 en el primer trimestre de 2026, un salto del 315% que lo situó en el tercer lugar global en un solo trimestre.

Su fundador, que opera bajo el alias hastalamuerte, originalmente dejó Qilin tras una disputa por un pago y convirtió a The Gentlemen en uno de los programas de más rápido crecimiento en el sector.

El grupo consiguió una asociación oficial con BreachForums en mayo de 2026, obteniendo acceso a una gran comunidad de corredores de acceso y pentesters.

El atractivo principal del programa es una participación del afiliado del 90%, diez puntos por encima de lo que LockBit ofrecía históricamente. Su bloqueador se ejecuta sin derechos de administrador, es compatible con entornos Windows, Linux, NAS, BSD y ESXi, e incluye un modo silencioso diseñado para vencer la detección común de renombrado de archivos.

Cada versión genera automáticamente una nota de rescate con los datos de contacto del afiliado, poniendo el control total de la negociación en sus manos.

Hyflock adoptó un enfoque diferente, centrando su oferta en herramientas totalmente integradas. El panel del programa agrupa la compra de acceso inicial, salas de negociación automatizadas, análisis de datos de víctimas basado en IA y un equipo rojo (red team) disponible para ayudar a los afiliados durante las intrusiones.

El actor hyflock123 afirmó que el cifrador funciona aproximadamente al doble de velocidad que LockBit 3.0, aunque actualmente no existe ninguna prueba de rendimiento independiente que verifique esa afirmación.

Recomendaciones para el Defensor y el Camino a Seguir

Los analistas de seguridad advierten que el cifrado más rápido, las barreras de habilidad más bajas y el análisis financiero impulsado por IA de los datos robados apuntan a una prioridad clara: tú, como defensor, necesitas detectar las intrusiones más temprano en la cadena de ataque.

Ambos programas anuncian propagación basada en GPO, por lo que los registros de modificación de Directivas de Grupo merecen una atención cercana en cualquier entorno empresarial. Las credenciales de respaldo en la nube también deben aislarse de las rutas de administrador de dominio, ya que Hyflock se dirige específicamente a los respaldos activos en la nube.

El modo silencioso de The Gentlemen no cambia los nombres de los archivos ni las fechas de modificación, por lo que tu monitoreo debe centrarse en patrones de escritura parcial rápida de procesos no elevados, en lugar de basarse solo en los cambios de extensión.

Ambos programas también atacan hosts ESXi, Linux y NAS que frecuentemente se ejecutan sin cobertura de detección de endpoints.

El DBIR 2025 de Verizon encontró que el 54% de las víctimas de ransomware tenían credenciales de dominio expuestas en mercados de "stealers" antes del ataque, lo que convierte el monitoreo de credenciales en un primer paso esencial.

Indicadores de Compromiso (IoCs):-

Nota: Las direcciones IP y los dominios han sido deshabilitados intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o la creación de enlaces. Solo vuelve a habilitarlos dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.