“Gentlemen’s Gambit”: Una Nueva Generación de Ransomware Eleva la Apuesta para los Defensores Corporativos

En el campo de batalla en constante evolución del cibercrimen, ha surgido un nuevo adversario - uno que combina destreza técnica con una eficiencia implacable. El grupo de ransomware “Gentlemen”, que apareció por primera vez en agosto de 2025, está ganando notoriedad rápidamente por sus ataques precisos a redes corporativas en cuatro continentes. Pero, a diferencia de lo que sugiere su nombre, estos actores de amenaza no muestran piedad, dejando tras de sí una estela de datos cifrados y ejecutivos angustiados.

Anatomía de un Ataque “Gentlemen”

A diferencia de las campañas de ransomware indiscriminadas, las operaciones de Gentlemen son altamente dirigidas. Investigadores de seguridad han señalado al grupo como una de las amenazas más activas y técnicamente avanzadas de finales de 2025. Su modus operandi refleja el de las amenazas persistentes avanzadas (APT): tras vulnerar una red, desactivan rápidamente las herramientas de seguridad - apagando Windows Defender, servicios de respaldo como Veeam y bases de datos críticas - para maximizar el impacto y dificultar los esfuerzos de recuperación. Los registros del sistema son eliminados, haciendo que la investigación forense sea una pesadilla.

Lo que distingue a Gentlemen es su uso del lenguaje de programación Go y una salvaguarda única en la ejecución: el ransomware requiere una contraseña secreta al iniciarse. Sin ella, el malware se autodestruye, frustrando a los investigadores de seguridad y a las defensas automatizadas que intentan analizar su funcionamiento interno. Los atacantes pueden además personalizar su ofensiva especificando qué discos cifrar, la velocidad de ejecución e incluso cuánto de cada archivo corromper - equilibrando rapidez con devastación.

Cifrado Diseñado para Permanecer

El arsenal de cifrado de Gentlemen es formidable. El malware combina los algoritmos X25519 y XChaCha20, generando claves y nonces únicos para cada archivo. Para archivos menores de 1 MB, se aplica cifrado completo. Los archivos más grandes son sometidos a cifrado intermitente - lo suficiente para volverlos inútiles, pero lo bastante rápido para evadir la detección. Una vez consumado el daño, una nota de rescate exige el pago, amenazando con filtrar los datos robados en el “Sitio de Filtración de Datos” del grupo si las negociaciones se estancan.

La destreza técnica y la disciplina operativa de Gentlemen han puesto en máxima alerta a los equipos de ciberseguridad. Si el grupo es una reaparición de un sindicato extinto o un actor completamente nuevo sigue siendo incierto, pero su rápido ascenso señala una preocupante escalada en la carrera armamentista del ransomware.