Origen y contexto:
The Gentlemen es un grupo de ciberdelincuentes especializado en ransomware que emergió en julio de 2025. A pesar de su reciente aparición, el grupo demostró desde el inicio un nivel de madurez técnica y disciplina operacional atípicos en actores nuevos, lo que llevó a investigadores de firmas como Trend Micro, Group-IB y Cybereason a sospechar que podría tratarse de operadores experimentados provenientes de ecosistemas ransomware previos o de un rebranding de un grupo ya existente.
El grupo se presume originario de regiones de habla rusa, debido a que sus operadores aplican una restricción explícita que prohíbe atacar organizaciones ubicadas en Rusia y en países miembros de la Comunidad de Estados Independientes (CEI), práctica común entre actores ciberdelincuentes con nexos en esa región.
Modelo de operación: RaaS y Doble extorsión
The Gentlemen opera bajo un esquema de Ransomware-as-a-Service (RaaS), en el que los operadores principales desarrollan y mantienen la infraestructura maliciosa (incluyendo el cifrador, el sitio de filtraciones en la dark web, soporte de negociación y opciones de construcción personalizables) mientras que afiliados independientes ejecutan los ataques. Como incentivo de reclutamiento, el grupo ofrece a sus afiliados una comisión del 90% sobre los rescates obtenidos, una de las tasas más altas registradas en el ecosistema criminal.
Publicación de promoción en la DarkWeb de RaaS The Gentlemen
Su estrategia central es la doble extorsión: los atacantes primero exfiltran datos sensibles de la víctima y luego cifran sus sistemas, amenazando con publicar la información robada en sitios de filtraciones si el rescate no es pagado. Esto combina el daño operacional con el riesgo reputacional y regulatorio para las organizaciones afectadas.
Capacidades técnicas
El ransomware está desarrollado en Go y es multiplataforma, con variantes para Windows, Linux, ESXi, NAS y BSD. Entre sus características técnicas destacan:
- Cifrado mediante XChaCha20 y Curve25519, esquemas modernos y robustos que dificultan la recuperación sin la clave del atacante.
- Verificación de contraseña como parámetro de ejecución, lo que impide la activación accidental y complica el análisis en entornos de sandboxing.
- Mecanismos de persistencia automática: reinicio automático y ejecución al arranque del sistema (run-on-boot).
- Propagación lateral mediante WMI, PowerShell Remoting y unidades de red compartidas.
- Evasión de defensas mediante la técnica BYOVD (Bring Your Own Vulnerable Driver), que permite desactivar soluciones EDR explotando controladores legítimos pero vulnerables.
- Abuso de Group Policy Objects (GPO) para comprometer dominios completos y herramientas personalizadas para desactivar productos de seguridad específicos.
- Exfiltración de datos mediante canales cifrados usando WinSCP, con acceso remoto persistente vía AnyDesk.
- Modos de ejecución silenciosa y preservación de marcas de tiempo para dificultar el análisis forense.
Alcance e impacto global
El crecimiento del grupo ha sido extraordinariamente rápido. Publicaron sus primeras 48 víctimas en septiembre y octubre de 2025. Para inicios de 2026, su sitio de filtraciones listaba más de 200 organizaciones en más de 50 países. En el primer trimestre de 2026, The Gentlemen fue el tercer grupo ransomware más activo a nivel global con 192 incidentes registrados, solo por detrás de Qilin (338) y Akira (197).
Más revelador aún, el análisis de un servidor C2 comprometido realizado por Check Point Research expuso más de 1,570 redes corporativas infectadas que nunca habían sido publicadas en el sitio de filtraciones, lo que indica que la escala real de la operación es significativamente mayor a la conocida públicamente.
Los sectores más afectados incluyen manufactura, construcción, salud, seguros, energía y gobierno. Los ataques han sido confirmados en América del Norte, América del Sur, Europa, Asia-Pacífico y Medio Oriente, sin limitarse a ninguna región específica.
Según SOCRadar, México se encuentra en el Top 10 de países con 3 víctimas afectadas.
Top 10 países objetivo por el Ransomware The Gentlemen
Recomendaciones
- Implementar autenticación multifactor (MFA) en todos los accesos privilegiados y servicios expuestos a Internet.
- Desplegar soluciones EDR con detección basada en comportamiento y mantenerlas actualizadas.
- Auditar y restringir el uso de herramientas de acceso remoto legítimas como AnyDesk.
- Monitorear activamente GPOs y cambios en configuraciones de dominio.
- Mantener backups offline y verificar periódicamente su integridad y capacidad de restauración.
- Implementar segmentación de red para limitar el movimiento lateral en caso de compromiso.