- Aparece Charon, una cepa sigilosa que ataca a administraciones y aviación en Oriente Medio, con técnicas avanzadas de evasión.
- Fuerte repunte de víctimas y presión a sectores clave; grupos como Cl0p, Akira y Qilin/Qlin lideran la actividad.
- La IA acelera campañas: PoC PromptLock y operaciones automatizadas; la extorsión evoluciona hacia modelos en varias fases.
- España figura entre los países más afectados y sufre incidentes relevantes, con Elche como caso destacado.
El panorama del ransomware no afloja: nuevos actores, tácticas más agresivas y un uso cada vez más extendido de la inteligencia artificial están elevando el listón de la amenaza y los ciberataques a escala global. Informes recientes y casos en curso apuntan a una aceleración en número de víctimas, sofisticación de técnicas y presión añadida sobre servicios esenciales.
En este contexto emergen campañas dirigidas de alto impacto, como la identificada por Trend Micro en Oriente Medio, mientras análisis de ciberamenazas sitúan a España entre los entornos más expuestos en ciberseguridad en España. A la par, aparecen pruebas de concepto que exploran el potencial de la IA en el cifrado y la exfiltración, y se consolidan modelos de extorsión más complejos para forzar pagos.
Charon: una campaña sigilosa contra sector público y aviación
Investigadores han documentado una nueva cepa de ransomware denominada “Charon” que se dirige a organismos del sector público y a organizaciones de aviación en Oriente Medio. El ataque destaca por su capa de camuflaje: se hace pasar por un ejecutable legítimo (por ejemplo, Edge.exe) que carga de manera encubierta un componente auxiliar (msedge.dll) y busca un supuesto registro técnico (DumpStack.log) donde, en realidad, se oculta la carga cifrada del malware.
Una vez localizada, la desempaqueta e inyecta en procesos de sistema como svchost.exe para pasar desapercibida en el equipo comprometido. Antes de cifrar, Charon intenta desactivar defensas, eliminar copias de seguridad y vaciar la papelera, medidas destinadas a entorpecer la recuperación y a aumentar el impacto.
La operación personaliza la nota de rescate con el nombre de la entidad y un inventario de datos afectados junto a instrucciones de pago, lo que denota una preparación específica por víctima. Sobre su autoría, los analistas señalan similitudes con técnicas usadas por la banda de origen chino Earth Baxia, aunque no existe atribución concluyente y podría tratarse de una imitación deliberada o un desarrollo paralelo.
Para los equipos de seguridad, esta campaña ilustra la convergencia entre tácticas APT y operaciones de ransomware, un salto cualitativo que incrementa el riesgo de interrupciones críticas, pérdidas de datos y costes de recuperación y negociación.
Radiografía del auge: más víctimas, sectores bajo presión y España en el punto de mira
Los datos del primer semestre del año reflejan un salto notable en el número de afectados, con incrementos cercanos al 70% frente al año anterior, según un informe de referencia. En el podio de actividad se sitúan Cl0p, Akira y Qilin (también citado como Qlin), con operaciones globales sostenidas y campañas cada vez más afinadas.
Por verticales, la manufactura concentra en torno al 15% de los incidentes analizados, seguida por comercio minorista y alimentación/bebidas (aprox. 12%), y el tándem telecomunicaciones y medios (alrededor del 10%). Como vector de entrada, el phishing copa uno de cada cuatro ataques y se dispara hasta el 52% en proveedores de servicios gestionados (MSP), mientras que el abuso de RDP cae a mínimos en los casos monitorizados.
La explotación de aplicaciones de colaboración gana peso y, en una fracción de los incidentes, los atacantes recurren a deepfakes y exploits automatizados para incrementar la tasa de éxito. En paralelo, observatorios especializados reportan más de 2.400 incidentes de ransomware en la primera mitad del año en los países donde operan, con España entre los cinco más afectados.
En el ámbito nacional, España encabeza las tasas normalizadas de detección de malware en Europa y registró picos por encima del 10% en marzo y mayo, coincidiendo con campañas estacionales de infostealers y periodos propicios para el fraude. También se observó un repunte del abuso de dominios .es, con alrededor de 1.300 subdominios maliciosos detectados en mayo.
España: el caso de Elche
El Ayuntamiento de Elche ha comunicado un incidente compatible con ransomware que dejó fuera de servicio gran parte del sistema municipal. El hallazgo se produjo a primera hora, cuando un puesto mostró información cifrada; desde entonces se ordenó el apagado preventivo de equipos para contener la intrusión. En ese momento no constaban reclamaciones de rescate ni autoría atribuida.
El impacto afectó a la atención presencial —sin posibilidad de trámite administrativo— y paralizó puestos dependientes del sistema, con áreas sensibles como nóminas y censo entre las prioridades de recuperación. Se cortó el acceso a correo e Internet para evitar movimiento lateral.
Entre las medidas adoptadas se incluyeron actuaciones alineadas con el Esquema Nacional de Seguridad: denuncia ante Policía Nacional; activación del comité de crisis; suspensión de plazos administrativos; asistencia de CSIRT-CV y coordinación con el CCN; y un plan de encendido por fases tras descartar riesgos residuales.
IA y nuevas tácticas: de PromptLock a la extorsión en cuatro fases
La irrupción de la IA está dejando huella. Investigadores de ESET han divulgado PromptLock, un ransomware impulsado por IA en fase de prueba de concepto que se ejecuta localmente con un modelo servido vía Ollama. Su propósito es generar scripts Lua al vuelo para inventariar archivos, exfiltrar datos y activar el cifrado. El código, escrito en Golang, cuenta con variantes para Windows y Linux y, aunque no se ha observado en ataques reales, muestra hacia dónde puede evolucionar el arsenal criminal.
Los autores del análisis advierten de que, pese a los requisitos computacionales de los modelos, los actores podrían sortear estas limitaciones y usar LLM para acelerar reconocimiento, robo de información y ejecución. La idea de un malware que adapte tácticas sobre la marcha abre una frontera compleja para la defensa.
En paralelo, plataformas de IA han bloqueado cuentas vinculadas a operaciones de ransomware e introducido controles adicionales, como reglas YARA y detección de hashes maliciosos, para prevenir la generación de malware. Analistas especializados matizan que, por ahora, el uso de IA se observa de forma más extendida en el acceso inicial (phishing y fraude) que en el desarrollo del cifrado.
También se han documentado operaciones que integran asistentes de código para automatizar el ciclo del ataque (búsqueda de objetivos, intrusión, desarrollo de payloads, exfiltración y elaboración de la nota de rescate), con impacto reportado en al menos 17 organizaciones gubernamentales, organizaciones sanitarias, de emergencia y religiosas.
Además, los operadores están extendiendo sus métodos de presión. Siguen predominando los esquemas de doble extorsión (cifrado y amenaza de filtración), pero gana terreno una táctica en cuatro fases que suma ataques de DDoS y el acoso a terceros (clientes, socios o medios) para forzar el pago. La IA generativa y los servicios de ransomware como servicio facilitan que actores menos experimentados ejecuten campañas sofisticadas.
La fotografía actual muestra un ransomware más organizado y adaptable, capaz de combinar sigilo técnico, presión mediática y automatización con IA. Entre campañas como Charon, el auge de grupos como Cl0p, Akira y Qilin/Qlin y la elevada exposición en España, las organizaciones necesitan reforzar detección, respuesta y recuperación mediante diagnósticos de ciberseguridad empresarial, además de endurecer accesos y formación frente a ingeniería social.
