The Gentlemen: el ransomware a medida que suma víctimas y avanza en Latinoamérica

El ransomware The Gentlemen registró ataques a más de 250 víctimas en 17 países, con actividad reportada en México, Colombia, Chile y Argentina. El grupo opera bajo el modelo ransomware as a Service (RaaS), una modalidad en la que la infraestructura y el malware se ofrecen como servicio para ejecutar campañas. En este caso, el rasgo distintivo es la personalización: estudia las defensas específicas de cada objetivo y adapta herramientas durante la intrusión para superar controles existentes.

Martina Lopez, investigadora de seguridad informática de ESET Latinoamérica, describió el perfil del grupo y su forma de presentarse en el entorno criminal. “Es un grupo emergente de ransomware as a Service que irrumpió en la escena cibercriminal a mediados de 2025”, dijo. También señaló que cuenta con un sitio de filtraciones en la dark web con logotipo profesional y un lema orientado al detalle.

El esquema operativo se apoya en la doble extorsión. El ataque no se limita al cifrado de archivos para bloquear el acceso: incluye la exfiltración previa de datos confidenciales. Con esa información, el grupo amenaza con publicarla en su sitio de filtraciones si no se paga el rescate, una presión que se incrementa en organizaciones que no pueden afrontar una brecha de datos pública.

La secuencia habitual comienza con el aprovechamiento de accesos expuestos en internet, como sistemas con administración abierta, o con el uso de credenciales previamente robadas. Una vez dentro, los atacantes despliegan herramientas para explorar la red interna, entender la organización e identificar usuarios con permisos elevados, en especial aquellos con acceso total. Luego avanzan con herramientas que permiten ejecutar acciones remotas en múltiples equipos y modificar configuraciones clave.

Con ese control, distribuyen el ransomware de forma simultánea en los dispositivos conectados y debilitan mecanismos de seguridad para facilitar el acceso y el control remoto. En la etapa final combinan el envío cifrado de información sensible a servidores externos con el cifrado que bloquea los sistemas. Tras completar la operación, buscan borrar huellas mediante la eliminación de registros de actividad, conexiones remotas y evidencias que permitan reconstruir lo ocurrido.

La primera víctima documentada se registró el 30 de junio de 2025 y la actividad continuó desde entonces. Los impactos alcanzaron sectores como manufactura, construcción, salud, seguros y servicios financieros. A nivel geográfico, los países más afectados incluyen a Estados Unidos y Tailandia, seguidos por India, México, Colombia, España y Francia.

En América Latina, a mitad de marzo de 2026 el grupo publicó en su sitio web el ataque a dos organizaciones de Colombia en áreas de atención médica y medios de comunicación. Durante febrero, en Argentina atacó a un instituto de investigación científica gubernamental y, en marzo, reclamó el ataque a un organismo de Chile. Además, el sitio ransomware.live contabilizó víctimas en Brasil, Perú, Ecuador, Venezuela, Guatemala, República Dominicana, Costa Rica y Panamá.