de hunters international a world leaks cuando el fraude se reinventa

De Hunters International a World Leaks: cuando el fraude se reinventa

PorCarlos Ribeiro

Últimamente el panorama de la ciberseguridad no deja de sorprendernos, y no precisamente para bien. El grupo de ransomware Hunters International acaba de anunciar su cierre y la liberación gratuita de descifradores para todas sus víctimas. Pero cuidado, esto no es una historia de redención – es un simple cambio de estrategia en el mundo de las estafas digitales.

El lobo se cambia de piel, pero sigue siendo lobo

Hace apenas tres meses, la firma de inteligencia de amenazas Group-IB ya nos advertía que Hunters International estaba en pleno proceso de transformación hacia «World Leaks», centrándose exclusivamente en la extorsión de datos. Es lo que yo llamo una reconversión empresarial en el mundo del fraude.

Hunters comenzó su actividad a finales de 2023 como una refundación del grupo Hive (otro nombre que seguro te suena si sigues las noticias de ciberseguridad). Operando bajo el modelo de Ransomware-as-a-Service (RaaS), consiguieron atacar a más de 300 víctimas, principalmente en Norteamérica.

Lo más preocupante es su versatilidad: atacaron sistemas con diferentes sistemas operativos y arquitecturas, dirigiéndose a organizaciones de todos los tamaños. Su modus operandi era robar datos para doble extorsión y personalizar las demandas de rescate para cada víctima. Nada improvisado.

El cambio que nadie pidió

Ya en abril se empezaron a notar cambios significativos en su táctica. En lugar de limitarse a listar a sus víctimas en su sitio de filtraciones en la red Tor, comenzaron a contactar directamente con los directivos y empleados para extorsionarlos. Si no es escalofriante esto, no sé qué lo es.

Ahora han dado un paso más: han eliminado todos los nombres de víctimas de su sitio web y han publicado un mensaje anunciando el cierre de la operación y ofreciendo software de descifrado gratuito. Su mensaje dice: «Después de una cuidadosa consideración y a la luz de desarrollos recientes, hemos decidido cerrar el proyecto Hunters International».

El gesto de «buena voluntad» que nadie se cree

Rebecca Moody, jefa de investigación de Comparitech, lo tiene claro: esta liberación de claves de descifrado probablemente no tendrá impacto real, ya que la mayoría de las víctimas deben haber restaurado sus sistemas hace tiempo, considerando que Hunters no ha reclamado un nuevo ataque desde mayo.

La realidad es que no han tenido un ataque de conciencia. Simplemente han encontrado otro modelo de negocio potencialmente más lucrativo: el robo puro y duro de datos. World Leaks apareció en enero de 2025 y ya tiene 20 víctimas en su portal Tor, con los datos de 17 de ellas ya publicados.

La evolución del fraude: menos ransomware, más extorsión de datos

A diferencia de Hunters International, World Leaks no utiliza ransomware para cifrar archivos, sino que se centra exclusivamente en el robo de información. Y no son los únicos que van por este camino.

«Creo que veremos a varios grupos más siguiendo esta tendencia, ya que los hackers dependen cada vez más del robo de datos en sus ataques», explica Moody. «Quizás necesitemos replantearnos nuestra definición de ransomware en el futuro, pero por ahora, los ataques de grupos como World Leaks son ciberataques, no ataques de ransomware tradicionales».

¿Por qué este cambio de estrategia?

Erich Kron, defensor de la concienciación sobre seguridad en KnowBe4, sugiere que la liberación de las claves de descifrado por parte de Hunters International podría ser resultado de posibles acciones policiales, dada la creciente cooperación entre autoridades de todo el mundo para desmantelar grupos de ransomware.

El cambio hacia la extracción y extorsión de datos «tiene menos probabilidades de atraer la atención focalizada de las fuerzas del orden, ya que no están derribando las operaciones de la empresa u otra entidad», y el impacto en las organizaciones víctimas podría ser mucho menor.

Kron también señala algo interesante: «Muchos grupos de ransomware han experimentado con el robo de datos únicamente, especialmente a medida que las organizaciones mejoran su capacidad para restaurar rápidamente sus sistemas tras un cifrado de archivos».

La nueva normalidad en el mundo de la ciberdelincuencia

Lo que estamos viendo es una adaptación evolutiva del fraude online. Los ciberdelincuentes son pragmáticos: si un modelo deja de ser rentable o se vuelve demasiado riesgoso, simplemente cambian de estrategia.

Esta transición de Hunters a World Leaks ilustra perfectamente cómo los grupos de ciberdelincuentes analizan constantemente el costo-beneficio de sus operaciones. El cifrado de archivos atrae mucha atención, requiere infraestructura compleja y necesita un soporte técnico continuo. El robo de datos, en cambio, es un modelo más sencillo: entras, robas y luego extorsionas.

La realidad es que mientras escribo esto, seguramente hay otros grupos evaluando sus operaciones y considerando cambios similares. Es un recordatorio de que el mundo de la ciberseguridad nunca se detiene y que las empresas necesitan estar preparadas no solo para las amenazas de hoy, sino para las del mañana.

Como siempre digo a mis clientes: en ciberseguridad, el que se duerme, amanece hackeado. Y con grupos como World Leaks reorganizándose constantemente, es más cierto que nunca.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *