Alerta Global: Grupo de Ransomware Envía Falsos Técnicos de TI para Robar Datos en Persona

El panorama actual

La ciberseguridad global se enfrenta a una evolución preocupante en las tácticas de los grupos de ransomware. Google, a través de sus reconocidos equipos de ciberseguridad Mandiant y Google Threat Intelligence, ha unido fuerzas con el FBI para emitir una alerta crítica sobre un grupo particularmente audaz: Silent Ransom Group (SRG), conocido también por los alias Luna Moth, Chatty Spider y UNC3753. Este consorcio de ciberdelincuentes ha llevado sus operaciones más allá de los ataques digitales convencionales, escalando hacia una estrategia de intrusión física directa que representa un nuevo y grave desafío para la seguridad corporativa.

La táctica más alarmante del SRG implica el envío de individuos que se hacen pasar por personal de soporte técnico de TI directamente a las oficinas de sus víctimas. Una vez dentro, estos impostores utilizan herramientas de acceso remoto o, de forma aún más directa, unidades USB para exfiltrar información extremadamente sensible. Contratos, datos personales de clientes, registros financieros y otra propiedad intelectual crítica son los objetivos primordiales de estas incursiones, que han afectado a “decenas” de organizaciones hasta la fecha. Esta audacia marca una desviación significativa de los métodos tradicionales de ransomware, que históricamente se han centrado en el cifrado de datos y la extorsión a distancia.

El Ataque Físico vs. la Amenaza Digital Tradicional

La comparación entre las tácticas del Silent Ransom Group y las amenazas digitales tradicionales revela una brecha de seguridad que muchas organizaciones podrían estar pasando por alto. Mientras que la mayoría de las empresas invierten fuertemente en firewalls robustos, software antivirus avanzado, sistemas de detección y respuesta de endpoints (EDR) y formación en phishing para protegerse de ataques basados en software, el SRG explota la vulnerabilidad más elemental: el factor humano y la seguridad física.

Un ataque digital tradicional, como un ransomware que cifra archivos en la red, requiere una intrusión técnica sofisticada o un engaño de phishing bien ejecutado para obtener acceso inicial al sistema. La protección se basa en capas tecnológicas y en la vigilancia digital. Sin embargo, la estrategia del SRG elude muchas de estas defensas al inyectar directamente a un actor malicioso en el entorno físico de la víctima. Como señala Gabrielle Hempel de Exabeam, esta es una "evolución natural de las operaciones de extorsión", donde los atacantes buscan explotar cualquier punto débil, incluyendo la confianza humana y la falta de protocolos de seguridad física estrictos. Nick Tausek de Swimlane enfatiza que la extorsión "ya no se trata solo de irrumpir a través de malware o bloquear sistemas con ransomware", sino de explotar la confianza y la presunción de seguridad. La presencia física permite a los atacantes sortear muchas barreras digitales que serían impenetrables de forma remota, utilizando un enfoque "low-tech" que, paradójicamente, puede ser más difícil de detectar y prevenir que un ataque puramente digital. Bogdan Botezatu de Bitdefender advierte que esta táctica expone una "falla básica en la seguridad en capas" de algunas empresas, demostrando que incluso los sistemas de seguridad impulsados por IA no son suficientes por sí solos si la superficie de ataque física no está protegida. Charles Carmakal de Mandiant, por su parte, ha investigado casos donde adversarios han "plantado información privilegiada, sobornado empleados o entrado físicamente a edificios", indicando que si bien la táctica no es completamente nueva, la prominencia y escala del SRG la ponen de relieve.

Los datos hablan

El Silent Ransom Group ha demostrado ser un adversario persistente y adaptable. Según la investigación, el grupo ha estado activo desde al menos 2022. Sin embargo, un cambio significativo en su estrategia se observa desde la primavera de 2023, cuando comenzaron a apuntar de manera más intensa a bufetes de abogados en Estados Unidos, un sector particularmente rico en información confidencial y propenso a ciberataques. Además de las firmas legales, el SRG también ha puesto su mira en empresas de los sectores de seguros, finanzas y salud, ampliando el espectro de sus posibles víctimas.

Las tácticas de envío de falsos técnicos de TI a las oficinas de las víctimas se han registrado específicamente entre enero y mayo de 2026, afectando a “decenas” de organizaciones. El FBI, a través de su Centro de Quejas de Delitos en Internet (IC3), emitió una alerta FLASH el 26 de mayo de 2026, detallando exhaustivamente las tácticas del SRG, que incluyen llamadas telefónicas, correos electrónicos de phishing y, crucialmente, las visitas en persona. Publicaciones de CyberScoop y eSecurity Planet han corroborado y amplificado la singularidad y la peligrosidad de este enfoque.

La escala de la amenaza es considerable: en el primer trimestre de 2026, se registraron 134 incidentes de ransomware contra bufetes de abogados, representando más del 6% del total de ataques en ese período, con el SRG y el grupo de ransomware Inc. siendo los principales responsables de este aumento. Los datos también revelan que más de 38 empresas han visto sus datos sensibles publicados en el sitio de filtraciones del SRG, lo que subraya la naturaleza de extorsión de sus operaciones. Una campaña anterior del SRG en 2022, que empleaba phishing de devolución de llamada, ya había causado pérdidas económicas a las víctimas que ascendieron a cientos de miles de dólares.

Qué significa para Latam

Para Latinoamérica, la amenaza que representa el Silent Ransom Group y su evolución hacia ataques físicos es particularmente alarmante, dada la creciente vulnerabilidad de la región al ciberdelito. Aunque los informes recientes no mencionan explícitamente ataques del SRG en países latinoamericanos, la dinámica general de ciberseguridad en la región la convierte en un objetivo potencialmente fértil para tácticas tan sofisticadas y de ingeniería social.

Latinoamérica y el Caribe es, de hecho, la región de más rápido crecimiento en incidentes cibernéticos reportados, con un alarmante aumento del 25% en ataques durante la última década. Los ataques de ransomware constituyen casi la mitad de los ciberataques exitosos, y la región enfrenta un promedio de 2.640 ciberataques por semana, un 35% más que el promedio global. Estas intrusiones se traducen en pérdidas anuales que superan los 90 millones de dólares. En 2025, se registraron 452 incidentes de ransomware en la región, siendo Brasil el país más afectado con 130 víctimas, mientras que los sectores de tecnología (32%) y servicios financieros (20%) fueron los más impactados por la extorsión de datos y el ransomware en 2024. Los objetivos del SRG, como los bufetes de abogados, las finanzas y los seguros, tienen una fuerte presencia en la economía latinoamericana y a menudo manejan datos extremadamente valiosos.

Además, la región enfrenta desafíos significativos en términos de regulación y capacidad institucional. Si bien la mayoría de los países han desarrollado estrategias nacionales de ciberseguridad, solo 13 poseen la capacidad institucional efectiva para implementarlas y hacerlas cumplir. Aunque países como Brasil y Chile tienen regulaciones sectoriales para instituciones financieras que exigen la notificación de incidentes, esto no es una práctica uniforme ni abarca todos los sectores vulnerables. La combinación de una mayor exposición a ciberataques, una infraestructura legal y de seguridad en desarrollo, y una cultura de confianza que podría ser explotada por técnicas de ingeniería social como las del SRG, posiciona a Latinoamérica como un objetivo de alto riesgo para estas nuevas formas de extorsión cibernética.