A pesar de los constantes golpes de las fuerzas del orden internacionales, el infame cártel de ransomware ha liberado su variante más letal hasta la fecha, capaz de cifrar ecosistemas corporativos enteros en un solo ataque coordinado.
El grupo de cibercrimen que se niega a morir acaba de lanzar su última “actualización de producto”. Hoy 16 de febrero de 2026, que la Unidad de Investigación de Amenazas (TRU) de Acronis ha identificado en campañas activas a LockBit 5.0, una versión drásticamente mejorada del temido ransomware.
Esta no es una simple evolución estética. LockBit 5.0 marca la transición definitiva del grupo hacia la guerra de infraestructura a gran escala, presentando capacidades multiplataforma simultáneas que permiten a los atacantes golpear endpoints (Windows), servidores backend (Linux) y, críticamente, hipervisores (VMware ESXi) al mismo tiempo.
El Cifrado como Servicio, Perfeccionado
El modelo Ransomware-as-a-Service (RaaS) de LockBit siempre ha sido profesional, pero la versión 5.0 eleva el estándar con compilaciones (“builds”) dedicadas para entornos empresariales modernos.
- El Frente Windows: La variante para sistemas Microsoft ha sido dotada de mecanismos avanzados de evasión de defensas. Utiliza técnicas sofisticadas de ofuscación y anti-análisis diseñadas específicamente para cegar a las herramientas EDR (Detección y Respuesta en Endpoints) y desbaratar la telemetría de los analistas SOC antes de que el cifrado siquiera comience.
- El Apocalipsis Virtual (ESXi y Linux): Aquí es donde reside el verdadero peligro. Los desarrolladores de LockBit saben que cifrar servidores uno por uno es ineficiente. Las nuevas herramientas diseñadas para VMware ESXi permiten a los atacantes comprometer un solo hipervisor host (a menudo explotando vulnerabilidades como las mencionadas en boletines recientes de CISA) y, desde esa posición de poder absoluto, cifrar docenas o cientos de máquinas virtuales simultáneamente, causando una interrupción operativa masiva en cuestión de minutos.
La Resiliencia del Cártel
El lanzamiento de LockBit 5.0 es un mensaje político y técnico. Tras las masivas operaciones policiales de 2024 (Operación Cronos) que desmantelaron gran parte de su infraestructura, el grupo ha reconstruido su red, demostrando una resiliencia aterradora. Siguen utilizando rutinas de cifrado de grado militar, añadiendo extensiones aleatorias a los archivos bloqueados para dificultar aún más la recuperación sin sus llaves (y sin copias de seguridad inmutables).
¿Cómo Defender tu Infraestructura?
Con la capacidad de LockBit 5.0 para moverse lateralmente entre diferentes sistemas operativos, la defensa perimetral ya no es suficiente.
- Segmentación Estricta: Las redes de gestión de tus servidores ESXi y Linux no deben ser accesibles desde la red general de usuarios de Windows. Un empleado comprometido no debería poder hacer ping a tu hipervisor.
- Protección Multi-Capa (MFA Total): La autenticación de dos factores ya no es opcional para accesos administrativos a consolas de virtualización o SSH.
- Copias de Seguridad “Air-Gapped”: Los investigadores advierten que la única salvación real frente a LockBit 5.0 es tener copias de seguridad que estén completamente desconectadas (fuera de línea) o sean inmutables, ya que el ransomware buscará activamente los repositorios de respaldo en la red para cifrarlos primero.
