El ransomware ‘invisible’ que no bloquea computadoras: el extraño ataque que te roba todo sin que dejes de trabajar

Un nuevo actor de ciberamenazas identificado como Coinbase Cartel Ransomware ha encendido las alertas en el ámbito de la ciberseguridad al introducir un modelo de ataque que prescinde del bloqueo de computadoras y se centra exclusivamente en el robo masivo de información.

Detectado en septiembre de 2025, este grupo se aparta del esquema tradicional del ransomware, que suele combinar el cifrado de archivos con la filtración de datos. En su lugar, ejecuta operaciones silenciosas de extracción de información sin interrumpir el funcionamiento de los sistemas, lo que permite a las víctimas continuar trabajando sin notar inicialmente la intrusión.

El método se basa en la exfiltración de datos sensibles y la posterior amenaza de publicación en sitios de filtración en la llamada “dark web”. Una vez divulgada la información de las organizaciones afectadas, el grupo exige pagos en criptomonedas, generalmente en Bitcoin, estableciendo plazos de respuesta de 48 horas para iniciar contacto y hasta diez días para negociar o cumplir con el rescate, detalla el Centro de Respuesta a Incidentes Informáticos de la Agencia de Regulación y Control de las Telecomunicaciones.

Las investigaciones señalan que la organización ha dirigido ataques contra sectores como logística, banca, telecomunicaciones, tecnología y servicios legales, con casos reportados en países de Asia, América del Norte, Europa y también en Ecuador.

A diferencia de otros grupos, este actor no opera bajo el modelo de ransomware como servicio (RaaS), ni mantiene una red estructurada de afiliados. En cambio, recurre al reclutamiento de cibercriminales externos y a la compra de herramientas especializadas, incluyendo vulnerabilidades de tipo “día cero”, con inversiones que superarían los dos millones de dólares.

El acceso inicial a los sistemas se logra mediante técnicas como ingeniería social, uso de credenciales filtradas o la participación de intermediarios especializados en accesos ilegales. Una vez dentro, los atacantes obtienen privilegios administrativos, manipulan registros para evitar ser detectados y extraen información de valor.

Analistas del sector advierten que este enfoque representa un riesgo elevado debido a su rapidez y bajo nivel de visibilidad, lo que complica la respuesta temprana de las organizaciones. También señalan que el grupo podría evolucionar hacia esquemas más agresivos en el futuro.

Entre las principales recomendaciones de seguridad se incluyen la implementación de autenticación multifactor, la rotación periódica de credenciales, la protección de entornos en la nube, la aplicación constante de parches de seguridad y la supervisión de transferencias de datos inusuales.

Asimismo, se aconseja mantener copias de seguridad seguras, segmentar los sistemas críticos y reforzar los controles de acceso, con el fin de reducir la exposición frente a este tipo de amenazas emergentes. (I)