Dentro de la filtración de The Gentlemen: cómo un nuevo grupo de ransomware escaló tan rápido en 2026

Las cifras siguieron creciendo durante el año. Investigadores observaron alrededor de 332 víctimas publicadas en su portal en los primeros cinco meses de 2026, lo que lo situó entre los programas de ransomware más activos del momento.

Los datos trimestrales también reflejan un crecimiento explosivo: el grupo publicó 179 víctimas en el primer trimestre de 2026, frente a solo 26 en el último trimestre de 2025, un aumento cercano al 588 %.

El modelo de negocio: ransomware como servicio

Como muchas operaciones modernas de ransomware, The Gentlemen funciona bajo el modelo RaaS (ransomware‑as‑a‑service). En este esquema, el grupo central desarrolla el malware y mantiene la infraestructura, mientras que atacantes externos —los llamados afiliados— realizan las intrusiones en las redes de las víctimas.

La filtración del backend reveló varias cuentas internas vinculadas al panel de control del sistema RaaS. Investigaciones apuntan a un operador central conocido como “zeta88” (también llamado “hastalamuerte”), quien aparentemente administraba la infraestructura y el panel utilizado por afiliados.

El funcionamiento típico de este modelo incluye:

• El equipo central desarrolla el ransomware y administra la infraestructura.
• Los afiliados realizan el acceso inicial, roban datos y ejecutan el cifrado.
• Los pagos del rescate se reparten entre afiliados y operadores del programa.

Este sistema permite a grupos relativamente pequeños lanzar campañas globales a gran escala.

Ataques dirigidos a infraestructura de red expuesta

Uno de los hallazgos más importantes de la filtración es el fuerte enfoque del grupo en dispositivos de red accesibles desde internet como punto inicial de intrusión.

Entre los objetivos frecuentes se encontraban:

• firewalls empresariales
• gateways VPN
• sistemas de administración de red

Estos equipos suelen estar ubicados en el perímetro de la red corporativa, lo que los convierte en una puerta de entrada estratégica si no están correctamente protegidos.

Una vulnerabilidad especialmente relevante en las campañas del grupo es CVE‑2024‑55591, un fallo crítico de evasión de autenticación que afecta a FortiOS y FortiProxy. Esta vulnerabilidad puede permitir a un atacante remoto obtener privilegios de superadministrador mediante solicitudes manipuladas, lo que abre la puerta al control completo del dispositivo.

Un inventario masivo de dispositivos comprometidos

Los informes de inteligencia de amenazas también indican que la operación mantenía un registro de aproximadamente 14.700 dispositivos FortiGate ya comprometidos en todo el mundo, además de cientos de credenciales VPN válidas asociadas a estos sistemas.

Para los atacantes, una base de datos de este tipo funciona como una reserva estratégica de accesos listos para futuras intrusiones. Una vez comprometido un dispositivo de red, es posible entrar en la red interna sin activar muchas de las defensas tradicionales que suelen detectar campañas de phishing o malware.

Lo que revelaron los chats internos

Los registros de chat filtrados proporcionaron pistas sobre la forma en que el grupo organizaba sus operaciones diarias. Aunque la filtración es incompleta, las conversaciones muestran discusiones sobre varios aspectos de las campañas, entre ellos:

• selección y evaluación de posibles víctimas
• gestión de infraestructura y herramientas
• coordinación con afiliados
• preparación antes de publicar a las víctimas en el sitio de filtración

Estos canales internos ofrecieron a los investigadores una visión cronológica de cómo se planificaban y ejecutaban los ataques antes de ser anunciados públicamente.

Qué deben aprender las organizaciones de esta filtración

Más allá de exponer a un solo grupo criminal, el caso pone de relieve una tendencia clara en el panorama del ransomware: la infraestructura de red en el perímetro se ha convertido en uno de los principales vectores de ataque.

Muchas organizaciones concentran su seguridad en endpoints como laptops o servidores, pero los atacantes pueden eludir esas defensas si logran controlar firewalls, dispositivos VPN o plataformas de gestión de red.

Entre las medidas prioritarias para reducir el riesgo destacan:

• aplicar parches rápidamente en dispositivos de red y sistemas de seguridad, especialmente ante fallos críticos como CVE‑2024‑55591.
• evitar exponer interfaces de administración directamente a internet.
• usar autenticación multifactor (MFA) para accesos administrativos.
• monitorizar registros de firewalls, VPN y sistemas de administración en busca de señales tempranas de intrusión.

Una filtración parcial, pero reveladora

Los expertos subrayan que la base de datos filtrada representa solo una instantánea parcial de las operaciones internas de The Gentlemen.

Aun así, el incidente ofrece un raro vistazo al funcionamiento interno de una operación moderna de ransomware‑as‑a‑service y demuestra lo rápido que puede escalar un grupo cuando combina afiliados externos, herramientas automatizadas y acceso a infraestructuras expuestas.

Para las organizaciones, la conclusión es clara: proteger los sistemas que están en el borde de la red es hoy una de las defensas más importantes contra el ransomware.