Check Point® Software Technologies Ltd. (NASDAQ: CHKP), advierte sobre la evolución de DragonForce, un cártel de ransomware que simboliza una nueva generación de amenazas híbridas, marcadas por la descentralización, la automatización y la economía colaborativa del cibercrimen.
DragonForce apareció por primera vez en diciembre de 2023 con el portal en la dark web “DragonLeaks”, y algunos investigadores lo vinculan a un colectivo hacktivista malasio del mismo nombre. Sin embargo, su evolución ha sido claramente comercial. Para 2025, opera como un cártel de ransomware con un modelo pensado para atraer afiliados freelance, ofreciendo un 20% de participación en los ingresos, kits de ransomware de marca blanca y acceso a infraestructura preconfigurada —incluyendo portales como “RansomBay”—. Tras la desaparición de RansomHub, DragonForce absorbió rápidamente a sus afiliados, consolidándose como una alternativa ágil, rentable y anónima en un ecosistema cada vez más desconfiado de las grandes marcas criminales.
Ransomware en 2025: cifras récord y cambios de enfoque
Según el informe State of Ransomware Q1 2025 de Check Point Research, el ransomware atraviesa un repunte histórico:
- 2.289 víctimas públicas reportadas en el primer trimestre del año, un incremento del 126% interanual.
- 74 grupos de ransomware activos simultáneamente, en un entorno cada vez más fragmentado y competitivo.
- Media de más de 650 víctimas mensuales, frente a unas 450 registradas en 2024.
Además, se detecta una evolución en las técnicas de extorsión: muchos actores priorizan la filtración de datos sin cifrado, lo que agiliza los tiempos de monetización y reduce la complejidad operativa.
Reino Unido bajo presión: el retail, objetivo estratégico
Durante abril y mayo de 2025, DragonForce ha lanzado campañas dirigidas contra el sector retail británico, provocando caídas de plataformas de e-commerce, interrupciones en programas de fidelización y afectaciones a operaciones internas. Este cambio táctico parece orientarse a la obtención masiva de información personal identificable (PII) como activo comercializable en mercados secundarios.
Según datos de Check Point Software:
- El sector de Bienes y Servicios de Consumo es el quinto más atacado en Reino Unido.
- Registra una media de 1.337 ataques semanales por organización, un 8% por encima de la media nacional.
- Ha experimentado un aumento del 22% interanual en el volumen de ciberataques.
Ecosistema fragmentado y auge de la IA criminal
Con la caída de grupos como LockBit y ALPHV en 2024, el ecosistema RaaS ha perdido cohesión, dando paso a decenas de actores intermedios que compiten por afiliados. DragonForce destaca por ofrecer tanto herramientas técnicas como identidad y alineación ideológica flexible.
Al mismo tiempo, el uso de inteligencia artificial en campañas de ransomware va en aumento:
- Generadores de malware asistidos por IA que permiten a atacantes sin formación técnica operar eficazmente.
- Uso de deepfakes de audio y video para reforzar técnicas de ingeniería social.
- Automatización de campañas de phishing multilingües, ataques BEC y robo de OTP mediante bots.
“DragonForce no es solo una banda de ransomware, es una estrategia de marketing, un modelo de negocio y un ecosistema, todo en uno”, advierte Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Su éxito no radica en la sofisticación técnica, sino en reducir la barrera de entrada al cibercrimen, ofrecer un refugio a exafiliados, permitir que nuevos actores construyan marcas personales y capitalizar un mundo que aún lucha por adaptarse a la realidad del ransomware como servicio”.
