Se ha encendido una alerta roja para la región centroamericana. Se ha detectado que el grupo cibercriminal operador del ransomware “The Gentlemen” ha actualizado su portal de filtraciones en la Dark Web, publicando una lista de 14 nuevas víctimas a nivel global. Dentro de esta ofensiva, destacan específicamente dos organizaciones en la región: un conglomerado corporativo (Holding) con sede en Honduras y una firma de servicios financieros en El Salvador.
Cabe subrayar que, debido a lo sumamente reciente de esta publicación en los foros clandestinos, hasta el momento no existen comunicados oficiales ni confirmaciones públicas por parte de las empresas afectadas, por lo que sus identidades se mantienen en reserva por protocolos de seguridad mientras se desarrollan las investigaciones.
Anatomía del Incidente (Modus Operandi)
Dado que el incidente se encuentra en una fase temprana de divulgación, los detalles técnicos específicos de la intrusión aún no son públicos. Sin embargo, la presencia de estas empresas en el portal del atacante confirma que “The Gentlemen” opera bajo el modelo de Doble Extorsión (Double Extortion). La anatomía típica de sus ataques sigue este patrón:
- Acceso Inicial: Los atacantes suelen infiltrarse mediante la explotación de vulnerabilidades en servicios perimetrales expuestos (como VPNs o servidores RDP sin parchear), campañas de phishing dirigidas, o comprando el acceso a Initial Access Brokers (IABs) en la Dark Web.
- Movimiento Lateral y Exfiltración: Una vez dentro de la red, los cibercriminales se mueven silenciosamente para escalar privilegios y localizar los servidores críticos y bases de datos. Antes de bloquear los sistemas, exfiltran (roban) terabytes de información confidencial hacia servidores controlados por ellos.
- Cifrado y Despliegue: Se despliega el payload del ransomware para cifrar los archivos operativos de las organizaciones, paralizando sus operaciones diarias.
- Presión Psicológica (El Portal de Víctimas): La publicación de los países y sectores de las víctimas en su sitio de la Dark Web (como se observa en la alerta) es una táctica de presión. El grupo amenaza con liberar o subastar los datos corporativos, financieros y de clientes si no se paga el rescate exigido dentro de un límite de tiempo estipulado.
Impacto
El impacto para las entidades en Honduras y El Salvador, especialmente considerando que una pertenece al sector financiero, es crítico:
- Paralización Operativa: El cifrado de sistemas puede interrumpir transacciones, procesos contables y la prestación de servicios a clientes a nivel nacional o regional.
- Riesgo de Confidencialidad: Al tratarse de una doble extorsión, existe una alta probabilidad de que información financiera, registros de clientes, contratos y propiedad intelectual ya estén en manos de los cibercriminales, lo que representa un grave riesgo de cumplimiento regulatorio y daño reputacional masivo.
Recomendaciones y Mitigación Preventiva
Ante la confirmación de actividad de “The Gentlemen” enfocada en Centroamérica, se insta a las organizaciones de la región a tomar medidas de contención y prevención inmediatas:
- Monitoreo y Cacería de Amenazas (Threat Hunting): Los equipos de SOC (Centro de Operaciones de Seguridad) deben buscar activamente indicadores de compromiso (IoCs) en sus redes, revisando accesos anómalos en horarios no laborales, transferencias masivas de datos hacia el exterior y la creación de cuentas de administrador no autorizadas.
- Aislamiento Preventivo: Si una organización sospecha que ha sido vulnerada, debe aislar inmediatamente los segmentos de red críticos y desconectar los servidores de respaldo (backups) para evitar que el ransomware los alcance.
- Auditoría de Perímetro: Validar urgentemente que todos los accesos remotos (VPN, RDP, Citrix) cuenten con Autenticación Multifactor (MFA) estricta y que no existan vulnerabilidades conocidas sin parchear en firewalls y enrutadores.
- Gestión de Crisis: Las empresas deben preparar a sus equipos legales, de relaciones públicas y de respuesta a incidentes para manejar la comunicación estratégica en caso de que se confirme la filtración pública de sus datos en las próximas horas o días.
