{"id":11452,"date":"2026-05-07T10:48:02","date_gmt":"2026-05-07T16:48:02","guid":{"rendered":"https:\/\/beaconlab.us\/?p=11452"},"modified":"2026-05-07T10:48:03","modified_gmt":"2026-05-07T16:48:03","slug":"the-gentlemen-analisis-del-grupo-ransomware","status":"publish","type":"post","link":"https:\/\/beaconlab.us\/es\/the-gentlemen-analisis-del-grupo-ransomware\/","title":{"rendered":"The Gentlemen: An\u00e1lisis del grupo Ransomware"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Origen y contexto:&nbsp;<\/h2>\n\n\n\n<p>The Gentlemen es un grupo de ciberdelincuentes especializado en ransomware que emergi\u00f3 en julio de 2025. A pesar de su reciente aparici\u00f3n, el grupo demostr\u00f3 desde el inicio un nivel de madurez t\u00e9cnica y disciplina operacional at\u00edpicos en actores nuevos, lo que llev\u00f3 a investigadores de firmas como Trend Micro, Group-IB y Cybereason a sospechar que podr\u00eda tratarse de operadores experimentados provenientes de ecosistemas ransomware previos o de un rebranding de un grupo ya existente.<\/p>\n\n\n\n<p>El grupo se presume originario de regiones de habla rusa, debido a que sus operadores aplican una restricci\u00f3n expl\u00edcita que proh\u00edbe atacar organizaciones ubicadas en Rusia y en pa\u00edses miembros de la Comunidad de Estados Independientes (CEI), pr\u00e1ctica com\u00fan entre actores ciberdelincuentes con nexos en esa regi\u00f3n.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Modelo de operaci\u00f3n: RaaS y Doble extorsi\u00f3n<\/h2>\n\n\n\n<p>The Gentlemen opera bajo un esquema de Ransomware-as-a-Service (RaaS), en el que los operadores principales desarrollan y mantienen la infraestructura maliciosa (incluyendo el cifrador, el sitio de filtraciones en la dark web, soporte de negociaci\u00f3n y opciones de construcci\u00f3n personalizables) mientras que afiliados independientes ejecutan los ataques. Como incentivo de reclutamiento, el grupo ofrece a sus afiliados una comisi\u00f3n del 90% sobre los rescates obtenidos, una de las tasas m\u00e1s altas registradas en el ecosistema criminal.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"624\" height=\"518\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2026\/05\/image.jpg\" alt=\"\" class=\"wp-image-11455\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2026\/05\/image.jpg 624w, https:\/\/beaconlab.us\/wp-content\/uploads\/2026\/05\/image-300x249.jpg 300w\" sizes=\"(max-width: 624px) 100vw, 624px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-center\"><em>Publicaci\u00f3n de promoci\u00f3n en la DarkWeb de RaaS The Gentlemen<\/em><\/p>\n\n\n\n<p>Su estrategia central es la doble extorsi\u00f3n: los atacantes primero exfiltran datos sensibles de la v\u00edctima y luego cifran sus sistemas, amenazando con publicar la informaci\u00f3n robada en sitios de filtraciones si el rescate no es pagado. Esto combina el da\u00f1o operacional con el riesgo reputacional y regulatorio para las organizaciones afectadas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Capacidades t\u00e9cnicas<\/h2>\n\n\n\n<p>El ransomware est\u00e1 desarrollado en Go y es multiplataforma, con variantes para Windows, Linux, ESXi, NAS y BSD. Entre sus caracter\u00edsticas t\u00e9cnicas destacan:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Cifrado mediante XChaCha20 y Curve25519, esquemas modernos y robustos que dificultan la recuperaci\u00f3n sin la clave del atacante.<\/li>\n\n\n\n<li>Verificaci\u00f3n de contrase\u00f1a como par\u00e1metro de ejecuci\u00f3n, lo que impide la activaci\u00f3n accidental y complica el an\u00e1lisis en entornos de sandboxing.<\/li>\n\n\n\n<li>Mecanismos de persistencia autom\u00e1tica: reinicio autom\u00e1tico y ejecuci\u00f3n al arranque del sistema (run-on-boot).<\/li>\n\n\n\n<li>Propagaci\u00f3n lateral mediante WMI, PowerShell Remoting y unidades de red compartidas.<\/li>\n\n\n\n<li>Evasi\u00f3n de defensas mediante la t\u00e9cnica BYOVD (Bring Your Own Vulnerable Driver), que permite desactivar soluciones EDR explotando controladores leg\u00edtimos pero vulnerables.<\/li>\n\n\n\n<li>Abuso de Group Policy Objects (GPO) para comprometer dominios completos y herramientas personalizadas para desactivar productos de seguridad espec\u00edficos.<\/li>\n\n\n\n<li>Exfiltraci\u00f3n de datos mediante canales cifrados usando WinSCP, con acceso remoto persistente v\u00eda AnyDesk.<\/li>\n\n\n\n<li>Modos de ejecuci\u00f3n silenciosa y preservaci\u00f3n de marcas de tiempo para dificultar el an\u00e1lisis forense.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Alcance e impacto global<\/h2>\n\n\n\n<p>El crecimiento del grupo ha sido extraordinariamente r\u00e1pido. Publicaron sus primeras 48 v\u00edctimas en septiembre y octubre de 2025. Para inicios de 2026, su sitio de filtraciones listaba m\u00e1s de 200 organizaciones en m\u00e1s de 50 pa\u00edses. En el primer trimestre de 2026, The Gentlemen fue el tercer grupo ransomware m\u00e1s activo a nivel global con 192 incidentes registrados, solo por detr\u00e1s de Qilin (338) y Akira (197).<\/p>\n\n\n\n<p>M\u00e1s revelador a\u00fan, el an\u00e1lisis de un servidor C2 comprometido realizado por Check Point Research expuso m\u00e1s de 1,570 redes corporativas infectadas que nunca hab\u00edan sido publicadas en el sitio de filtraciones, lo que indica que la escala real de la operaci\u00f3n es significativamente mayor a la conocida p\u00fablicamente.<\/p>\n\n\n\n<p>Los sectores m\u00e1s afectados incluyen manufactura, construcci\u00f3n, salud, seguros, energ\u00eda y gobierno. Los ataques han sido confirmados en Am\u00e9rica del Norte, Am\u00e9rica del Sur, Europa, Asia-Pac\u00edfico y Medio Oriente, sin limitarse a ninguna regi\u00f3n espec\u00edfica.<\/p>\n\n\n\n<p>Seg\u00fan SOCRadar, M\u00e9xico se encuentra en el Top 10 de pa\u00edses con 3 v\u00edctimas afectadas.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img decoding=\"async\" width=\"599\" height=\"337\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2026\/05\/image.jpeg\" alt=\"\" class=\"wp-image-11453\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2026\/05\/image.jpeg 599w, https:\/\/beaconlab.us\/wp-content\/uploads\/2026\/05\/image-300x169.jpeg 300w\" sizes=\"(max-width: 599px) 100vw, 599px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-center\"><em>Top 10 pa\u00edses objetivo por el Ransomware The Gentlemen<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Recomendaciones<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Implementar autenticaci\u00f3n multifactor (MFA) en todos los accesos privilegiados y servicios expuestos a Internet.<\/li>\n\n\n\n<li>Desplegar soluciones EDR con detecci\u00f3n basada en comportamiento y mantenerlas actualizadas.<\/li>\n\n\n\n<li>Auditar y restringir el uso de herramientas de acceso remoto leg\u00edtimas como AnyDesk.<\/li>\n\n\n\n<li>Monitorear activamente GPOs y cambios en configuraciones de dominio.<\/li>\n\n\n\n<li>Mantener backups offline y verificar peri\u00f3dicamente su integridad y capacidad de restauraci\u00f3n.<\/li>\n\n\n\n<li>Implementar segmentaci\u00f3n de red para limitar el movimiento lateral en caso de compromiso.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.cybereason.com\/blog\/the-gentlemen-ransomware\">https:\/\/www.cybereason.com\/blog\/the-gentlemen-ransomware<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.fortiguard.com\/threat-actor\/6387\/the-gentlemen-ransomware\">https:\/\/www.fortiguard.com\/threat-actor\/6387\/the-gentlemen-ransomware<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.group-ib.com\/blog\/hastalamuerte-gentlemen-raas-ttps\/\">https:\/\/www.group-ib.com\/blog\/hastalamuerte-gentlemen-raas-ttps\/<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/i\/unmasking-the-gentlemen-ransomware.html\">https:\/\/www.trendmicro.com\/en_us\/research\/25\/i\/unmasking-the-gentlemen-ransomware.html<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Origen y contexto:&nbsp; The Gentlemen es un grupo de ciberdelincuentes especializado en ransomware que emergi\u00f3 en julio de 2025. A pesar de su reciente aparici\u00f3n, el grupo demostr\u00f3 desde el inicio un nivel de madurez t\u00e9cnica y disciplina operacional at\u00edpicos en actores nuevos, lo que llev\u00f3 a investigadores de firmas como Trend Micro, Group-IB y [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":11457,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[48],"tags":[],"class_list":["post-11452","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts\/11452","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/comments?post=11452"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts\/11452\/revisions"}],"predecessor-version":[{"id":11459,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts\/11452\/revisions\/11459"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/11457"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11452"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/categories?post=11452"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/tags?post=11452"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}