Olvídate del Ransomware-as-a-Service (RaaS) tradicional. DragonForce ha evolucionado hacia un modelo de “Cártel” que ofrece franquicias de marca blanca, servicios de auditoría de datos robados y alianzas con grupos de élite como Scattered Spider.
El crimen organizado digital está cambiando de estructura. Basándose en investigaciones recientes publicadas a principios de febrero de 2026, reporta hoy que el grupo DragonForce ha consolidado su transformación de una simple banda de hackers a una organización tipo “Cártel”.
A diferencia del modelo RaaS clásico (donde los afiliados alquilan el malware del desarrollador), DragonForce está democratizando el crimen de alto nivel. Ahora permiten a sus afiliados operar bajo sus propias “sub-marcas”, utilizando la infraestructura del cártel pero manteniendo una autonomía casi total, una estrategia diseñada para absorber a los “huérfanos” de grupos colapsados como RansomHub o BlackCat.
La Oferta del Cártel: “Franquicias” de Cibercrimen
El reporte detalla cómo DragonForce está atrayendo a los mejores talentos del mercado negro con incentivos agresivos:
- Marca Blanca (White-Labeling): Los afiliados pueden crear sus propias variantes de ransomware personalizadas y marcas, pero todo corre sobre el motor y los servidores de DragonForce.
- Reparto 80/20: Ofrecen una de las comisiones más atractivas del mercado, permitiendo que el afiliado se quede con el 80% del rescate.
- Servicio de “Auditoría de Datos”: DragonForce no solo cifra; ha creado un equipo dedicado a analizar la información robada (“Company Data Audit”). Este servicio ayuda a los extorsionadores a encontrar los documentos más dañinos (secretos financieros, legales, de RRHH) para maximizar la presión sobre la víctima y garantizar el pago.
Alianzas Peligrosas: Scattered Spider
Quizás lo más alarmante es la confirmación de la colaboración operativa con Scattered Spider (el grupo famoso por hackear MGM y Caesars mediante ingeniería social avanzada).
- El Modus Operandi: Scattered Spider actúa como el equipo de “Acceso Inicial”, utilizando vishing (phishing por voz) y SIM Swapping para penetrar las defensas. Una vez dentro, entregan el acceso al Cártel DragonForce para que despliegue el cifrado y maneje la extorsión.
Guerra de Territorio
DragonForce no solo coopera; también compite agresivamente. El grupo ha estado involucrado en campañas de desprestigio y ataques contra la infraestructura de bandas rivales como BlackLock y Mamona, llegando a deforestar sus sitios de filtración para demostrar dominio y forzar a sus afiliados a cambiar de bando.
Sectores bajo Fuego
Según la telemetría reciente, el cártel ha puesto su mira en sectores específicos que no pueden permitirse tiempos de inactividad:
- Manufactura y Construcción: Objetivos primarios debido a su dependencia de la disponibilidad operativa.
- Infraestructura Crítica: Aprovechando la falta de parches en dispositivos de borde (como los de Ivanti o Fortinet mencionados en noticias anteriores).
¿Qué significa esto para tu defensa?
La “cartelización” significa ataques más frecuentes y sofisticados.
- Vigilancia de RMMs: DragonForce abusa de herramientas legítimas como ScreenConnect, AnyDesk y TeamViewer. Audita tu red en busca de estas aplicaciones y bloquea las versiones no autorizadas.
- Defensa contra Ingeniería Social: Dado el vínculo con Scattered Spider, refuerza los protocolos de verificación de identidad en tu mesa de ayuda (Help Desk) para evitar el reseteo de contraseñas fraudulento.
- Seguridad de Identidad: Implementa llaves de seguridad físicas (FIDO2) para administradores, ya que son resistentes al phishing y SIM Swapping que estos grupos prefieren.
