LA MAYORÍA DE LOS GRUPOS DE RANSOMWARE QUE SURGEN CON GRAN BOMBO Y PLATILLO DESAPARECEN EN CUESTIÓN DE MESES. THE GENTLEMEN NO SIGUEN ESE PATRÓN.
Desde su aparición a mediados de 2025, el grupo ha crecido a un ritmo comparable al de los primeros años de LockBit 3, un programa ampliamente considerado como el referente en operaciones de ransomware. Para abril de 2026, The Gentlemen había publicado más de 320 víctimas en su sitio web de filtración de datos, 240 de ellas solo en los primeros meses de 2026. Esta cifra solo refleja las organizaciones que se negaron a pagar; es casi seguro que el número real de víctimas es mayor.
Check Point Research (CPR) ha estado siguiendo a este grupo desde su aparición, y su último análisis, que incluye los hallazgos de una intervención activa de respuesta a incidentes y el acceso a un servidor controlado por el atacante, revela por qué esta operación está creciendo tan rápidamente y qué implica para los equipos de seguridad empresarial.
¿Por qué están creciendo?: Mejores condiciones económicas para los delincuentes
Para entender por qué The Gentlemen atraen afiliados tan rápidamente, es necesario comprender cómo funciona el modelo de negocio RaaS (Ransomware as a Service). Los operadores de ransomware desarrollan las herramientas y la infraestructura; los afiliados ejecutan los ataques y comparten el dinero del rescate con el operador.
The Gentlemen ofrece a sus afiliados una participación del 90 % en cada rescate pagado, frente al 80 % que ofrecen la mayoría de los programas de la competencia. En un ecosistema criminal impulsado por incentivos económicos, esa diferencia del 10 % es crucial. Está atrayendo a operadores experimentados de marcas consolidadas hacia el programa de The Gentlemen, aportando sus habilidades, su acceso a redes corporativas y su trayectoria.
El resultado es un rápido crecimiento. El grupo no crece porque haya inventado un ataque completamente nuevo. La mayoría de sus técnicas ya están bien establecidas. Crecen porque su modelo de negocio es más atractivo y porque han desarrollado un programa capaz de dar soporte a una amplia y creciente base de afiliados en entornos Windows, Linux y ESXi.
¿Quiénes son las víctimas?
Los ataques de The Gentlemen son en gran medida oportunistas, no dirigidos. Buscan organizaciones con infraestructura expuesta y vulnerable a internet (como VPN, puertas de enlace de acceso remoto y portales de administración de firewalls) y las utilizan como puntos de entrada.
Las empresas de manufactura y tecnología constituyen la mayor parte de las víctimas, lo cual coincide con el panorama general del ransomware. Cabe destacar la presencia del sector sanitario como el tercer sector más atacado. Algunos grupos de ransomware, por política informal o por autoprotección, evitan atacar hospitales. The Gentlemen no muestra indicios de respetar esta restricción.
Geográficamente, Estados Unidos concentra el mayor número de víctimas, con una fuerte presencia también del Reino Unido y Alemania. CPR confirmó este patrón a partir del sitio web público de filtraciones del grupo y de la telemetría independiente obtenida del servidor de un atacante afiliado.
Lo que CPR encontró dentro del servidor de un atacante
Durante una intervención de respuesta a incidentes, los investigadores de Check Point Research descubrieron que una filial de Gentlemen había desplegado infraestructura conectada a una operación mucho mayor de lo que un solo incidente podría sugerir. Al acceder al servidor de comando y control en cuestión, los investigadores pudieron observar una botnet de más de 1570 víctimas, probablemente corporativas. Se trataba de organizaciones cuyos sistemas habían sido comprometidos silenciosamente y estaban a la espera de nuevas acciones.
Esta cifra es significativa por dos razones. Primero, supera el número de víctimas que el grupo afirma públicamente, lo que sugiere que la verdadera magnitud de su actividad es mayor de lo que aparece en su sitio web de filtraciones. Segundo, el perfil de las víctimas (sistemas empresariales, máquinas unidas a un dominio, credenciales corporativas) confirma que no se trata de un ataque oportunista a consumidores. Se trata de organizaciones, y es probable que sus datos ya estuvieran preparados para su exfiltración.
La velocidad es la característica clave.
En el incidente al que respondió CPR, el atacante llegó con acceso administrativo a nivel de dominio ya establecido. A partir de ese momento, la intrusión escaló rápidamente: validación de credenciales en todo el entorno, movimiento lateral a decenas de hosts, desactivación de herramientas de seguridad y, finalmente, un despliegue de ransomware en todo el dominio activado mediante directivas de grupo, que afectó simultáneamente a todas las máquinas conectadas.
La velocidad y la coordinación de este ataque reflejan un grupo que ha perfeccionado su estrategia. Los afiliados no improvisan; ejecutan un proceso documentado y probado, diseñado para maximizar el impacto antes de que los defensores puedan responder.
Qué deben hacer los responsables de seguridad
Los atacantes no explotan vulnerabilidades de día cero novedosas ni eluden la seguridad mediante métodos exóticos. Su acceso inicial depende principalmente de dispositivos conectados a internet sin parchear o mal configurados. Estas son las mismas vulnerabilidades que se ha recomendado a los defensores priorizar durante años.
Los fundamentos siguen siendo las inversiones defensivas más importantes:
• Primero, actualice la infraestructura conectada a internet: Las VPN, los firewalls y las puertas de enlace de acceso remoto son el principal punto de entrada. Estos dispositivos deben tratarse con la misma urgencia que las aplicaciones web públicas.
• Asuma que las credenciales se verán comprometidas: Los atacantes pasan rápidamente del acceso inicial al control a nivel de dominio. La autenticación multifactor y los controles de acceso privilegiado son imprescindibles.
• Pruebe su capacidad de copia de seguridad y recuperación: Una copia de seguridad funcional y aislada es la herramienta más eficaz para limitar el impacto del ransomware. Muchas organizaciones descubren que su estrategia de copia de seguridad es inadecuada durante un incidente, no antes.
• Supervise el movimiento lateral, no solo la brecha perimetral: Para cuando el ransomware se activa, el atacante suele haber estado presente durante algún tiempo. La detección en la fase de movimiento lateral ofrece la mejor oportunidad para interrumpir un ataque en curso.
• Segmenta tu red: el cifrado de dominio mediante directivas de grupo solo es posible cuando un atacante tiene acceso al controlador de dominio y puede llegar a todos los dispositivos. La segmentación de la red limita tanto el alcance del atacante como el impacto de una intrusión exitosa.
Panorama general
El auge de Gentlemen ilustra un desafío estructural en el panorama del ransomware: la barrera para establecer una operación profesional de RaaS (Ransomware as a Service) se ha reducido considerablemente. Un reparto de ingresos atractivo, un servidor seguro y un sitio de filtración son suficientes para atraer afiliados que aportan su propio acceso y experiencia. La operación no necesita ser técnicamente innovadora para causar daños a gran escala.
CPR continuará monitoreando a este grupo a medida que evolucione. Para un análisis técnico completo, que incluye la cronología completa del ataque desde nuestra intervención en respuesta a incidentes, el comportamiento detallado del malware y los indicadores de compromiso, consulte el informe completo.
