Ransomware de doble extorsión: NBLock y Gunra impactan al sector empresarial

La ciberseguridad global se enfrenta a un punto de inflexión crítico en este segundo trimestre de 2026. Mientras que las defensas perimetrales se han vuelto más sofisticadas, los actores de amenazas han respondido con una agilidad alarmante. El reciente descubrimiento de las cepas NBLock y Gunra por parte de los equipos de investigación de Cyfirma y Barracuda no es solo una alerta sobre nuevo malware; es el testimonio de una evolución táctica hacia el Ransomware de doble extorsión que prioriza la identidad y la presión psicológica sobre la simple interrupción operativa.

La sofisticación técnica de NBLock: Cifrado y persistencia híbrida

Detectado por primera vez a mediados de abril de 2026, NBLock ha demostrado que la eficiencia técnica no tiene por qué ser compleja para ser devastadora. Este ransomware utiliza un algoritmo de cifrado simétrico AES-256 (Advanced Encryption Standard con llaves de 256 bits), un estándar que requiere 14 rondas de sustitución, transposición y mezcla para transformar datos legibles en un bloque inexpugnable de 128 bits. La implementación de NBLock es particularmente agresiva, ya que no solo busca archivos locales, sino que enumera exhaustivamente recursos compartidos en red y sistemas de almacenamiento adjunto, bloqueando la capacidad de recuperación inmediata de las organizaciones.

Un detalle técnico que destaca en NBLock es su dependencia de un artefacto local denominado key.bin. Este archivo contiene los metadatos criptográficos necesarios para el proceso de descifrado. Los atacantes advierten explícitamente en su nota de rescate, “README_NBLOCK.txt”, que cualquier modificación o eliminación de este archivo resultará en la pérdida permanente de los datos. Esta táctica busca evitar que herramientas de descifrado genéricas o intervenciones manuales de equipos de respuesta a incidentes intenten reconstruir las llaves sin pasar por su portal de negociación basado en Tor.

El “Bundle” malicioso: El papel de AZORult en la brecha

Lo que realmente eleva el perfil de riesgo de NBLock es su empaquetado estratégico con cargas útiles secundarias. Con frecuencia, el ransomware se despliega junto al troyano de robo de información AZORult. Esta combinación permite a los atacantes maximizar el valor de una sola intrusión a través de varias fases:

• Exfiltración de credenciales: Antes de que el cifrado comience, AZORult recolecta cookies de sesión, historiales de navegación, billeteras de criptomonedas y credenciales de FTP y correo electrónico.
• Acceso persistente: AZORult puede crear cuentas de administrador ocultas y modificar llaves de registro para permitir conexiones de escritorio remoto (RDP) persistentes.
• Apalancamiento de extorsión: Al poseer datos sensibles antes del cifrado, el grupo detrás de NBLock puede ejecutar un modelo de Ransomware de doble extorsión, amenazando con publicar la información robada si el pago por la llave de descifrado no se concreta.

Gunra: El heredero de Conti y la expansión del “Identity-First”

Si NBLock representa la eficiencia operativa, Gunra representa la madurez del cibercrimen organizado. Surgido también en abril de 2026, este grupo utiliza código fuente filtrado del infame grupo Conti, lo que le otorga una base técnica probada en combate pero optimizada para evadir los sistemas de detección modernos de 2026. A diferencia de otras cepas que utilizan phishing masivo, Gunra ha adoptado un enfoque de “identidad primero”, enfocando sus esfuerzos en explotar vulnerabilidades en software empresarial expuesto a internet y, lo más preocupante, en el reclutamiento de insiders (personal interno).

Este cambio hacia la infiltración mediante identidad permite a Gunra operar “viviendo de la tierra” (Living off the Land). Al utilizar credenciales legítimas de equipos de soporte técnico o administradores de sistemas, los atacantes pueden desactivar soluciones de EDR (Endpoint Detection and Response) y omitir defensas basadas en firmas, ya que su actividad se mezcla perfectamente con el tráfico administrativo legítimo.

Geografía del ataque y presión psicológica

El grupo Gunra ha puesto en su mira a economías maduras, con un enfoque particular en Estados Unidos, Canadá y España. En el contexto de España y Latinoamérica, este actor representa una amenaza significativa para sectores de infraestructura crítica y manufactura. Técnicamente, Gunra utiliza una combinación de cifrado ChaCha20 y RSA, optimizando la velocidad de cifrado mediante el uso de múltiples hilos basados en el número de núcleos lógicos de la CPU del objetivo, lo que reduce drásticamente el tiempo de detección durante el proceso de bloqueo.

La presión psicológica es un componente central de su Ransomware de doble extorsión. Gunra otorga un ultimátum estricto de cinco días. Para facilitar la negociación, operan sitios de filtración de datos (DLS) en la dark web que imitan interfaces de mensajería profesional como WhatsApp, asignando “Managers” específicos para cada víctima, lo que añade una capa de profesionalismo perverso al proceso de extorsión.

La evolución hacia el modelo de “Double-Extortion” en 2026

El concepto de Ransomware de doble extorsión ha dejado de ser una táctica opcional para convertirse en el estándar operativo. En 2026, los grupos no solo buscan un pago por “devolver” el acceso a los archivos, sino que han diversificado sus fuentes de ingresos mediante la monetización de los datos robados. Según los informes de Barracuda, más del 76% de los ataques detectados este año incluyen ahora una fase de robo de datos previa al cifrado.

Este modelo crea un dilema imposible para las organizaciones: incluso si cuentan con copias de seguridad sólidas e inmutables, la amenaza de una filtración de datos masiva —que podría incluir secretos comerciales, datos de clientes protegidos por regulaciones como el GDPR o el cumplimiento de leyes de privacidad en Latam— suele ser suficiente para forzar una negociación. La extorsión se ha desplazado de la disponibilidad de los sistemas a la confidencialidad de la información.

Tácticas avanzadas detectadas en las nuevas cepas:

1. Explotación de vulnerabilidades de día cero: Uso de fallos no parcheados en gateways de VPN y dispositivos de seguridad perimetral.
2. Evasión de MFA (Autenticación de Dos Factores): Mediante el robo de tokens de sesión con troyanos como AZORult, permitiendo el secuestro de sesiones sin necesidad de la segunda clave.
3. Infección multietapa: El uso de cargadores (loaders) iniciales que evalúan el entorno antes de desplegar el ransomware final, asegurando que el objetivo tenga el valor financiero suficiente.

Estrategias de mitigación frente a la identidad comprometida

Dada la naturaleza de estas nuevas amenazas, las defensas tradicionales basadas en el perímetro son insuficientes. Las organizaciones deben pivotar hacia un modelo de seguridad centrado en la identidad y el comportamiento. El Ransomware de doble extorsión prospera en entornos donde el movimiento lateral no está restringido.

Recomendaciones críticas de seguridad para 2026:

• Monitoreo de comportamiento de sesión: Investigar cualquier desviación en los patrones de acceso de las cuentas de administrador. Acceso a deshoras o desde ubicaciones inusuales debe disparar alertas de contención inmediata.
• Microsegmentación de red: Limitar el “radio de explosión” del ransomware mediante la implementación de políticas de Zero Trust que impidan que un compromiso en una terminal de soporte alcance el centro de datos.
• Higiene de identidad: Eliminar cuentas “fantasma” o inactivas y aplicar el principio de menor privilegio. El uso de contraseñas reutilizadas en dispositivos de red (firewalls, routers) ha sido identificado como un vector de entrada principal por Barracuda.
• Análisis forense de datos exfiltrados: Utilizar herramientas de DLP (Data Loss Prevention) para identificar en tiempo real flujos de datos inusuales hacia la red Tor o nubes públicas no autorizadas.

Conclusión: Una carrera armamentista digital

La aparición de NBLock y Gunra confirma que la industria del ransomware ha entrado en una fase de profesionalización y especialización agresiva. El uso de cifrado fuerte como AES-256, combinado con tácticas de robo de identidad y el reclutamiento de personal interno, pone de manifiesto que el Ransomware de doble extorsión es, ante todo, un problema de gestión de confianza.

Para las empresas en España y Latinoamérica, la lección es clara: la resiliencia ya no se mide solo por la capacidad de restaurar un respaldo, sino por la capacidad de detectar una intrusión antes de que los datos salgan de la red. En este entorno, la visibilidad total sobre las actividades administrativas y la protección de la identidad son las únicas defensas reales contra una amenaza que no solo quiere bloquear su futuro, sino también exponer su pasado.