**El desplome de la actividad ransomware en 2024: impacto de las operaciones contra ALPHV/BlackCat y LockBit**
—
### 1. Introducción
El panorama del ransomware, uno de los principales vectores de ciberamenaza a nivel global, ha experimentado un cambio significativo en los últimos meses. Según el último informe publicado por la Financial Crimes Enforcement Network (FinCEN), la actividad relacionada con ransomware alcanzó su punto máximo en 2023, para registrar posteriormente una caída notable durante 2024. Este descenso coincide temporalmente con importantes operaciones policiales internacionales dirigidas contra dos de los grupos de ransomware más notables: ALPHV/BlackCat y LockBit. Este artículo analiza en profundidad este cambio de tendencia, los factores que lo han motivado y sus implicaciones para los profesionales de la ciberseguridad.
—
### 2. Contexto del Incidente o Vulnerabilidad
En 2023, el ransomware consolidó su posición como amenaza crítica para organizaciones de todos los sectores, impulsado principalmente por la actividad de grupos altamente sofisticados y con recursos como ALPHV/BlackCat y LockBit. Estos grupos, operando bajo el modelo de Ransomware-as-a-Service (RaaS), facilitaron la proliferación global de ataques, permitiendo que actores menos técnicos desplegaran campañas devastadoras mediante kits preconstruidos y soporte técnico.
Sin embargo, a finales de 2023 y principios de 2024, varias fuerzas policiales internacionales, incluyendo Europol, el FBI y la NCA británica, ejecutaron operaciones coordinadas que resultaron en la desarticulación parcial de infraestructuras críticas y la detención de miembros clave de estos grupos. La acción policial incluyó la incautación de servidores, la obtención de claves de descifrado y el bloqueo de recursos económicos asociados a las campañas de extorsión.
—
### 3. Detalles Técnicos
#### **Vectores de ataque y metodologías**
Tanto ALPHV/BlackCat como LockBit emplearon tácticas avanzadas, destacando por la explotación de vulnerabilidades de día cero y técnicas de movimiento lateral basadas en frameworks como Cobalt Strike y Metasploit. Exploits conocidos, como CVE-2023-0669 (vulnerabilidad crítica en GoAnywhere MFT) y CVE-2023-27350 (Print Spooler de Windows), fueron aprovechados para obtener persistencia y privilegios elevados en entornos corporativos.
#### **TTP MITRE ATT&CK**
– **Initial Access (TA0001):** Phishing dirigido, explotación de servicios expuestos (RDP, VPN).
– **Execution (TA0002):** Uso de scripts PowerShell y binarios Living-off-the-Land (LOLBins).
– **Persistence/Privilege Escalation (TA0003/TA0004):** Creación de cuentas administrativas, abuso de GPOs.
– **Exfiltration (TA0010):** Herramientas como RClone y Mega para la extracción de datos previa a la encriptación.
#### **Indicadores de compromiso (IoC)**
– Ejecutables firmados con certificados comprometidos.
– Comunicaciones C2 en dominios y direcciones IP previamente asociados a ALPHV/BlackCat y LockBit.
– Uso de archivos con extensiones propias (.lockbit, .alphv).
—
### 4. Impacto y Riesgos
Durante 2023, el 68% de las notificaciones de incidentes de ransomware en EE.UU. y Europa estuvieron vinculadas a estos dos grupos. Según FinCEN, las pérdidas económicas documentadas por pagos de rescate superaron los 1.200 millones de dólares, afectando especialmente a sectores críticos: sanidad (22%), manufactura (17%) y administración pública (13%).
La irrupción policial ha supuesto una reducción estimada del 45% en la actividad global de ransomware en el primer semestre de 2024. Sin embargo, persisten riesgos asociados a la reaparición de actores bajo nuevas marcas y la evolución de sus TTPs para eludir la detección y respuesta.
—
### 5. Medidas de Mitigación y Recomendaciones
Las siguientes acciones son prioritarias para mitigar el riesgo de ransomware en el contexto actual:
– **Actualización y parcheo continuo** de sistemas, prestando atención a vulnerabilidades explotadas habitualmente por estos grupos.
– **Segmentación de red** y limitación de privilegios administrativos.
– **Despliegue de soluciones EDR/XDR** con capacidades de detección de comportamiento anómalo y respuesta automatizada.
– **Backups offline** y pruebas regulares de restauración.
– **Simulaciones de phishing** y formación continua para empleados.
– **Monitorización de IoC** asociados a ALPHV/BlackCat y LockBit compartidos por organismos como CISA y Europol.
—
### 6. Opinión de Expertos
Analistas de amenazas y responsables de SOC coinciden en que la caída de la actividad ransomware no debe interpretarse como el fin del problema. “La presión policial fuerza a los grupos a mutar, fragmentarse o externalizar servicios, pero la motivación económica persiste”, señala Javier Rubio, CISO de una entidad financiera. Otros expertos advierten que, tras la desarticulación de infraestructuras, es habitual observar una migración de afiliados a nuevas plataformas o la creación de variantes del malware que incorporan nuevas técnicas para evadir la detección.
—
### 7. Implicaciones para Empresas y Usuarios
Las empresas deben reforzar sus estrategias de ciberresiliencia, adaptando sus planes de respuesta a incidentes a un ecosistema en constante transformación. El cumplimiento normativo, especialmente bajo marcos como el GDPR y la inminente directiva NIS2, obliga a la notificación ágil de incidentes y a la implementación de controles técnicos y organizativos robustos.
Para los usuarios, la concienciación y la precaución en el manejo del correo electrónico y la descarga de archivos siguen siendo barreras fundamentales frente a la infección inicial.
—
### 8. Conclusiones
El informe de FinCEN confirma que las operaciones policiales pueden tener un impacto tangible en la actividad ransomware a corto plazo, reduciendo el volumen de ataques y los daños económicos derivados. No obstante, la adaptabilidad demostrada por grupos como ALPHV/BlackCat y LockBit obliga a mantener una vigilancia constante y a evolucionar las defensas técnicas y organizativas al ritmo de las amenazas. La colaboración internacional y el intercambio de inteligencia seguirán siendo clave en la lucha contra el cibercrimen organizado.
(Fuente: www.bleepingcomputer.com)