La Sociedad Hipotecaria Federal (SHF) se encuentra en el centro de la atención tras señalamientos de una posible intrusión informática atribuida a LockBit, una de las operaciones de ransomware más sofisticadas y peligrosas de los últimos años.
Según información publicada, el grupo criminal habría divulgado en foros de la dark web aproximadamente 277 gigabytes de información presuntamente extraída tras un ataque ejecutado alrededor del 21 de enero, estableciendo un plazo de pago que habría vencido el 5 de febrero.
Entendiendo la naturaleza de LockBit
LockBit representa una evolución significativa en el ecosistema criminal digital. Se trata de una familia de ransomware que opera bajo el modelo de «ransomware como servicio» o RaaS por sus siglas en inglés.
En este esquema, un equipo central se encarga del desarrollo y mantenimiento del malware junto con toda su infraestructura tecnológica, mientras que una extensa red de afiliados paga por utilizar estas herramientas para infiltrarse en organizaciones, extraer información confidencial, cifrar sistemas completos y posteriormente exigir rescates económicos.
Esta estructura de franquicia criminal permite que el dinero obtenido se reparta entre los desarrolladores principales y los operadores afiliados que ejecutan los ataques.
Lo que distingue a LockBit de otras amenazas es su alto nivel de configuración y sus avanzadas técnicas de evasión y antianálisis. El Instituto Nacional de Ciberseguridad de España ha documentado que esta familia de malware incorpora esquemas de doble y hasta triple extorsión.
Esto significa que los atacantes no se limitan únicamente a cifrar los sistemas para detener operaciones, sino que además roban información previamente y amenazan con divulgarla públicamente si no se cumple con el pago del rescate.
Esta doble palanca de presión explica por qué muchos incidentes se describen en términos de gigabytes filtrados, plazos límite y carpetas organizadas sistemáticamente.
Vectores de entrada y metodología de ataque
Los afiliados de LockBit emplean rutas de acceso que, aunque comunes, resultan altamente efectivas.
De acuerdo con reportes elaborados por agencias nacionales de ciberseguridad como la CISA, el FBI y la Oficina Federal de Seguridad de la Información de Alemania, el acceso inicial se logra principalmente mediante phishing diseñado para robar credenciales, abuso de cuentas válidas ya existentes en las organizaciones y explotación de servicios remotos expuestos como RDP.
También se han documentado intrusiones que aprovechan vulnerabilidades conocidas en infraestructura corporativa ampliamente desplegada, incluyendo dispositivos de perímetro y balanceadores de carga.
Una vez que los atacantes logran el acceso inicial, el patrón operativo sigue una secuencia consistente y metódica. Primero realizan un reconocimiento exhaustivo de la red, luego ejecutan movimiento lateral entre sistemas y proceden a la exfiltración de información antes del cifrado final.
Durante este proceso utilizan herramientas legítimas de administración para pasar desapercibidos y transfieren datos hacia servicios en la nube. El cifrado suele implementarse únicamente cuando el atacante ya identificó con precisión qué servidores, respaldos y sistemas son críticos para la operación de la organización víctima.
La fase de cifrado y sus implicaciones
En la etapa previa al cifrado, LockBit despliega un patrón que busca dos objetivos fundamentales: obtener control administrativo completo y bloquear todas las rutas de recuperación disponibles.
Los investigadores han documentado que el malware intenta elevar privilegios para ejecutarse con permisos altos, luego procede a debilitar las defensas mediante la detención de servicios de seguridad y realiza cambios en el registro del sistema.
Un paso particularmente crítico es la eliminación de las copias sombra o shadow copies, lo que reduce drásticamente las opciones de restauración rápida que podría tener la organización afectada.
Posteriormente activa el proceso de cifrado y deposita notas de rescate en múltiples ubicaciones del sistema, con un esquema repetitivo por carpeta.
Cabe destacar que el «builder» o constructor de LockBit permite ajustar numerosos parámetros, incluyendo exclusiones específicas, terminación de procesos, detención de servicios, cifrado de recursos compartidos en red y activación de acciones de impacto visual o limpieza de rastros.
Esta flexibilidad operativa explica por qué la misma «marca» LockBit puede aparecer en incidentes con perfiles muy distintos, ya que cada afiliado personaliza el ataque según sus capacidades y el entorno específico de su objetivo.
El golpe internacional y la resiliencia del grupo
LockBit sufrió un golpe significativo en 2024 cuando una operación internacional coordinada por el Departamento de Justicia de Estados Unidos, Reino Unido y socios internacionales logró incautar infraestructura crítica, afectar sitios utilizados para extorsión y desarrollar capacidades de descifrado para algunas víctimas.
La Policía Federal de Australia reportó que la operación impactó servidores en varios países, congeló más de 200 cuentas de criptomonedas y resultó en detenciones de presuntos operadores en Polonia y Ucrania.
Sin embargo, este desmantelamiento no representó el final de LockBit. Reportes técnicos elaborados por la firma de ciberseguridad ESET en 2025 documentaron nueva actividad asociada al grupo, con enfoque multiplataforma y mejoras significativas en técnicas de evasión y ofuscación.
Esta resiliencia demuestra que la estructura descentralizada del modelo RaaS permite que la operación continúe incluso después de golpes significativos a su infraestructura central, ya que los afiliados pueden reorganizarse y continuar sus actividades bajo la misma marca o migrando a otras operaciones similares.
Fuente: X
