Publicado: abril 22, 2026, 5:24 am
El ransomware es un tipo de ataque informático muy peligroso y cada vez más común. De hecho, España es el segundo país a nivel mundial que más sufre este tipo de ataques. Estos consisten en un programa malicioso que bloquea o cifra los archivos de un ordenador, exigiendo dinero a cambio de recuperarlos.
El problema afecta tanto a personas como a empresas y puede causar pérdidas de dinero, de datos y también de tiempo. Además, en los últimos años este modelo ha evolucionado hacia el llamado «ransomware como servicio (RaaS)», donde un grupo desarrolla la herramienta y otros delincuentes la utilizan a cambio de repartirse los beneficios.
De esto precisamente hablan desde Check Point Research, quienes alertan del crecimiento y rápida expansión de un grupo de ransomware conocido como The Gentlemen. El grupo apareció a mediados de 2025, superando las 320 víctimas publicadas en su sitio de filtración.
En lo que llevamos de 2026 ya han registrado alrededor de 240 ataques, lo que los sitúa como uno de los grupos más activos del momento, acercándose a cifras que en su día lograron grandes operaciones como LockBit 3.
Su modelo de negocio es clave
Explican que una de las claves de su éxito está en su modelo de negocio, ya que ofrece a sus afiliados un reparto del 90% de los beneficios, dejando únicamente el 10% para el grupo. Claramente, este es un incentivo mucho mayor que el habitual en este tipo de operaciones, lo que ha atraído a atacantes experimentados de otros programas que aportan sus conocimientos técnicos y propios accesos a redes corporativas.
El análisis también indica que su alcance real podría ser mucho mayor al detectarse una infraestructura con más de 1.570 posibles empresas afectadas, lo que sugiere que muchas víctimas no llegan a comunicarlo públicamente, algo que suele ser habitual para no perjudicar la imagen a nivel de negocio.
Modus operandi y víctimas
Sobre cómo actúan, destacan por la rapidez y la automatización, aprovechándose de fallos en dispositivos que están expuestos a internet, como VPNs o cortafuegos, para entrar en los sistemas. Cuando están dentro, utilizan herramientas como políticas de grupo para distribuir el ransomware de forma masiva en toda la red, logrando cifrar muchos equipos casi al mismo tiempo y en pocas horas.
Esto lo combinan con la filtración de información robada, una técnica conocida como doble extorsión. Es decir, no solo bloquean los sistemas, sino que también amenazan con publicar los datos si no se paga el rescate.
Algo a tener en cuenta es que parecen no tener límites en sus objetivos porque, a pesar de que atacan principalmente a empresas de tecnología y manufactura, también tienen al sector sanitario como uno de sus principales objetivos, algo especialmente delicado por el tipo de información que maneja.
El grupo opera a nivel global, pero es Estados Unidos donde se concentra la mayor parte de las víctimas, seguido de Alemania y Reino Unido, lo que demuestra su alcance internacional.
