En el ámbito del ransomware, los grandes golpes no son siempre el final: a veces marcan un punto de inflexión, un impulso para reinventarse. Esto es exactamente lo que está sucediendo con LockBit tras los ataques legales e informáticos sufridos hasta mayo de 2025.

El golpe que sacudió a los grandes

El 7 de mayo de 2025, una fuente anónima se infiltró en la infraestructura oscura de LockBit, reemplazó la web del grupo con un mensaje burlón y filtró una base de datos que incluía credenciales de afiliados, llaves de Bitcoin y registros de negociación. Fue un golpe inédito: alguien había logrado no solo atacar al atacante, sino poner sus secretos al descubierto.

Esa fuga, junto con la detención y acciones propuestas por países como EE. UU., Reino Unido y Australia contra servicios asociados a LockBit, parecía haber enterrado por completo su operativa. Pero lejos de desaparecer, LockBit planeaba resurgir con más fuerza.

 

La metamorfosis: de 3.0 a 4.0

LockBit aprendió de sus crisis. Decidieron reinventar su oferta:

  • En febrero de 2025 estrenaron el portal LockBit 4.0 con nuevos dominios onion y características mejoradas.
  • Adoptaron modalidades más silenciosas, fugaces y evasivas: quiet mode, builds personalizadas para múltiples plataformas (Windows, Linux, ESXi) y control más eficaz de afiliados.

Parecen haber ajustado el mensaje: ya no es solo un negocio de cifrar y extorsionar, sino de mantener una cadena empresarial criminal, más sólida y difícil de interrumpir.

 

Un ecosistema fragmentado, pero resiliente

Tras el gran golpe, el modelo RaaS sigue vivo. Nuevas variantes como FunkSec (con enfoque AI) y grupos emergentes como RansomHub surgen, llevando a que el ransomware prolifere de formas más segmentadas.

La caída de los grandes como LockBit o BlackCat ha provocado una fragmentación del mercado, pero no su desaparición. Al contrario: ha dejado espacio para que los más ágiles e innovadores sigan operando, a veces con tácticas más discretas, pero igual de peligrosas.

 

¿Cómo prepararse? Mejores acciones para defenderse hoy

1. Adoptar una postura proactiva:
Los equipos no pueden esperar a que ocurra un ataque; deben anticiparlo. Herramientas basadas en comportamiento, sandboxes y EDR/XDR son aliados esenciales.

2. Dejar de confiar en el “fuego lento”:
El modelo RaaS, que ahora funciona como SaaS criminal, exige respuesta rápida. Toda anomalía, desde accesos raros hasta duplicados de herramientas, debe investigarse al momento .

3. Educar por capas:
El entrenamiento debe ir más allá del usuario. Incluye prevención de exfiltración y uso de credenciales. LockBit y otros ya no necesitan phishing ruidoso si pueden robar datos silenciosamente.

4. Cultura de zero trust:
Implementar verificación continua. Si un endpoint habla con un servidor sensible, el tráfico debe inspeccionarse y almacenarse de forma centralizada.

 

En resumen: resiliencia criminal, resiliencia corporativa

LockBit 4.0 no es solo una versión realineada. Es una señal de que sus operadores tienen capacidad para adaptarse y escalar. Su evolución demuestra que el ransomware se reconfigura, no desaparece.

Para las empresas, la lección es clara: la defensa no puede seguir siendo reactiva. Hay que diseñar resiliencia —herramientas, procesos y mentalidad— con la misma agilidad criminal. Esa es la única forma de contrarrestar un modelo que vuelve renovarse cada vez que piensa haber sido derrotado.