¿Cómo opera y por qué genera preocupación en la sociedad?

Share Article

Ransomware Medusa: Cómo opera y por qué genera preocupación

En el panorama actual de ciberseguridad, uno de los temas que más inquieta a empresas y organizaciones en todo el mundo es el ransomware Medusa. Identificado por primera vez en junio de 2021, este grupo ha visto un aumento notable en su actividad, especialmente en los últimos dos años, realizando ataques a una variedad de empresas vinculadas a infraestructuras críticas. La reciente alerta del FBI sobre su accionar pone en evidencia la gravedad de la situación y la necesidad de entender cómo opera y por qué genera preocupación. En este artículo, desglosaremos todo lo que necesitas saber sobre Medusa, su modus operandi y cómo protegerte de este tipo de amenazas.

¿Qué es el ransomware Medusa?

Medusa es un tipo de ransomware que opera bajo un modelo de negocio conocido como Ransomware como Servicio (RaaS). Esto implica que los desarrolladores de la amenaza ofrecen su software a otros cibercriminales a cambio de una parte de las ganancias obtenidas. Esta dinámica ha contribuido a la rápida expansión y eficacia del grupo Medusa.

En términos de ataque, Medusa utiliza un modelo de doble extorsión: primero, cifra los datos de la víctima y, después, amenaza con hacer pública información sensible si no se paga el rescate solicitado. Tal estrategia les ha permitido posicionarse como uno de los grupos más preocupantes en el ámbito de la ciberseguridad.

Actividad del grupo en 2025

Medusa ha evolucionado significativamente hasta convertirse en uno de los grupos más activos de ransomware en 2025. Su notoriedad aumentó notablemente tras el lanzamiento de su sitio “Medusa Blog”, alojado en la Red Onion, donde publica los nombres de las víctimas y detalles sobre los ataques, ejerciendo presión para que paguen los rescates. Según datos de DarkFeed, en marzo de 2025, Medusa estuvo entre los 10 grupos de ransomware más activos, con 67 ataques confirmados.

El FBI y la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) han emitido advertencias serias sobre su actividad, indicando que han afectado a más de 300 entidades de sectores críticos, como la medicina, la educación, y la tecnología. La creciente actividad de Medusa subraya un hecho contundente: tanto las empresas como los individuos deben estar en constante alerta ante los riesgos cibernéticos.

Características de los ataques de Medusa

Métodos de entrada

El grupo Medusa utiliza dos vías principales para infiltrarse en los sistemas de sus víctimas:

  1. Campañas de phishing: a través de correos electrónicos fraudulentos, buscan robar credenciales de acceso.
  2. Explotación de vulnerabilidades: Medusa también se aprovecha de debilidades en el software, como un RDP expuesto con credenciales poco fuertes.

Por ejemplo, la Agencia Nacional de Ciberseguridad de Chile confirmó un ataque en marzo de 2025, donde el grupo utilizó credenciales débiles para acceder al sistema de una empresa, instalar el ransomware y propagarse hacia otros dispositivos.

Evasión de herramientas de seguridad

Otro aspecto destacado de Medusa es su capacidad para evadir herramientas de detección y respuesta, conocidas como EDR (Endpoint Detection and Response). Utilizan un controlador malicioso, llamado ABYSSWORKER, para deshabilitar estas soluciones de ciberseguridad. Además, se ha observado que eliminan el historial de comandos de PowerShell y aplican técnicas avanzadas como pass the hash, lo que les permite moverse lateralmente dentro de una red sin ser detectados.

Doble extorsión: la nota de rescate

Una de las características más alarmantes de cómo opera el ransomware Medusa es su estrategia de doble extorsión. Una vez que los archivos han sido cifrados y la víctima se encuentra en situación de vulnerabilidad, el grupo deja una nota de rescate, normalmente titulada !!!READ_ME_MEDUSA!!!txt, donde exige el pago para recuperar el acceso a los datos y amenaza con hacer pública la información robada. Este modelo ha convertido a Medusa en una amenaza considerable para empresas y organizaciones, especialmente aquellas que manejan información sensible.

Mediante su sitio en la dark web, Medusa comparte detalles sobre sus víctimas y mantiene cuentas regresivas para el pago del rescate. Estas prácticas no solo son ilegales sino extremadamente perjudiciales para las empresas afectadas.

Impacto de Medusa en América Latina

América Latina ha visto un aumento en la actividad de Medusa, siendo víctimas notables la Comisión Nacional de Valores de Argentina y el Grupo Bimbo en México. En 2023, el ataque a la CNV resultó no solo en el cifrado de datos, sino también en el robo de información confidencial. Esta situación obligó a la entidad a tomar medidas urgentes para controlar el ataque, pero no sin consecuencias negativas en su operativa.

Otro caso relevante ocurrió en febrero de 2024, donde se reveló que el Grupo Bimbo había sido atacado por Medusa, que exigía un rescate considerable. Además, una empresa de telecomunicaciones en Venezuela fue amenazada con la divulgación de datos sensibles a menos que pagaran un rescate de 5 millones de dólares. Estos incidentes son solo ejemplos de cómo Medusa ha extendido su red de actividad criminal a diversas naciones en la región.

Relación con otros grupos de ransomware

Un estudio realizado por ESET Research indica que Medusa no opera aislado; tiene conexiones con otros grupos de ransomware como RansomHub, Play, y BianLian. Por ejemplo, Medusa se beneficia de una herramienta diseñada por RansomHub llamada EDRKillShifter, destinada a neutralizar las soluciones de ciberseguridad, lo que les permite ejecutar sus ataques con mayor eficacia.

Este tipo de colaboración entre grupos criminales subraya la velocidad con la que se están adaptando y evolucionando estas amenazas. La posibilidad de que un mismo afiliado opere para múltiples bandas aumenta el riesgo y la complejidad de la ciberseguridad.

Recomendaciones para la prevención

Dada la naturaleza agresiva de cómo opera este grupo de ransomware y por qué genera preocupación, es esencial que empresas y usuarios individuales tomen medidas robustas para protegerse:

  1. Educación y capacitación: Implementa programas de capacitación para empleados sobre cómo identificar correos electrónicos de phishing y otros riesgos cibernéticos.

  2. Actualización de software: Asegúrate de que todos los sistemas y aplicaciones estén actualizados con los últimos parches de seguridad.

  3. Respaldos regulares: Realiza copias de seguridad de tus datos importantes y asegúrate de que estén almacenadas de forma segura.

  4. Herramientas de seguridad: Implementa soluciones de seguridad como antivirus y firewall para proteger tus dispositivos. Por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

  5. Monitoreo constante: Establece un sistema de monitoreo para detectar y responder a amenazas en tiempo real.

Pensamientos finales

La actividad creciente del ransomware Medusa evidencia la necesidad urgente de contar con medidas preventivas más robustas en el entorno corporativo y personal. Este grupo ha demostrado una capacidad alarmante para evolucionar y adaptarse, lo que lo convierte en una amenaza constante. Si bien la ciberseguridad es una lucha en curso, solo a través de la educación, la conciencia y el uso de herramientas adecuadas podremos contrarrestar la creciente ola de cibercrimen. Mantenerse informado es el primer paso hacia la protección eficaz de tus datos y recursos.

Fuente: https://www.welivesecurity.com/es/ransomware/medusa-como-opera-america-latina/

You might also like

¿Cuál es el mejor antivirus gratuito?

En la era digital en la que vivimos, es fundamental contar con un buen antivirus para proteger nuestros dispositivos de posibles amenazas cibernéticas. Sin embargo,

24 de mayo de 2024

#Mindey

@mindey