Qué lejos parece haber quedado febrero de 2024, cuando el FBI, la Agencia Nacional contra el Crimen del Reino Unido, Europol y fuerzas del orden de más de 10 países llevaron a cabo la Operación Cronos para desmantelar uno de los grupos de ransomware más prominentes: LockBit.

Un año más tarde, Lockbit volvío a las primeras planas en los portales de noticias de ciberseguridad: en septiembre de 2025 se registró la primera actividad de LockBit 5.0, con nueva versión mejorada y mucho más agresiva.

El Centro de análisis e intercambio de información de salud (Health-ISAC, su denominación en inglés) emitió un informe alertando sobre la actividad de este grupo de ransomware y su foco en el sector de la salud.

¿Cuáles son las características diferenciales de esta última variante? ¿Por qué se la cataloga como más agresiva y peligrosa que sus antecesores? ¿De qué manera logra distribuirse en muy pocas horas? ¿Cuáles son los objetivos predilectos? Las respuestas a estos y otros interrogantes, las analizamos a continuación.

LockBit 5.0: qué lo vuelve tan peligroso

En septiembre de 2025 tuvo lugar el sexto aniversario del surgimiento del ransomware LockBit y los cibercriminales detrás de él lo “celebraron” con el lanzamiento de una nueva variante, mejorada y más agresiva.

Algunas de las características mejoradas en esta nueva versión son:

Multiplataforma

LockBit 5.0 incluye algunas mejoras. Una de ellas es la capacidad de atacar de igual manera a Windows, Linux y VMware ESXi. Un salto en su capacidad de atacar entornos virtualizados completos.

Por ejemplo, si el módulo para ESXi se ve comprometido con un archivo malicioso, se pueden encriptar varias máquinas virtuales a la vez, amplificando así el daño potencial en los entornos corporativos, y en cuestión de minutos.

Interfaz

Al ser un grupo de Ransomware as a Service, a LockBit 5.0 le interesa contar con asociados que utilicen sus servicios y herramientas. Esta nueva variante tiene una interfaz de usuario mejorada, con un formato es mucho más claro que facilita la experiencia para sus asociados: desde diversas opciones y parámetros de ejecución, hasta modelos de nota de rescate y configuraciones de cifrado. Así, ofrece una flexibilidad operativa y personalización de los ataques.

Evasión avanzada y ofuscación

En Windows, usa técnicas avanzadas para ocultar su funcionamiento, empaquetando su código y cargándolo a través de reflexión de DLL. De esta manera, no es fácil de analizar ni detectar, ya que su código real no está visible como en otros tipos de ransomware.

Además, añade extensiones aleatorias de 16 letras a los archivos cifrados, para impedir la identificación de patrones y complicar los intentos de recuperación. No deja marcas o firmas en archivos afectados, lo que dificulta el trabajo de investigación.

LockBit: un breve repaso histórico

El grupo de Ransomware as a Service comenzó a operar 2019, y a lo largo de toda su trayectoria fue responsable de al menos 7.000 ataques reconocidos, en más de 120 países de todo el mundo. ¿Sus objetivos? De los más variados: sectores de salud, gobierno e infraestructura crítica, todos ellos de alto perfil.

En América Latina, por ejemplo, atacó al Poder Judicial de Chile y a OSDE (una compañía que ofrece servicios de salud y atención médica en Argentina), entre otras organizaciones y organismos gubernamentales de Brasil, México, Venezuela, Perú y Panamá.

lockbit-5.0-ransomware1
Imagen 1. Publicación del grupo LockBit en su sitio de la darkweb.

Uno de sus hitos se dio en el 2022, cuando el grupo lanzó la versión 3.0 de su herramienta de cifrado Lockbit Black, y pasó a llamarse LockBit 3.0. A su vez, lanzó un programa de Bug Bounty y hasta la opción de pagar para eliminar la información publicada.

lockbit-5.0-ransomware2
Imagen 2. Programa de Bug Bounty que anunció el grupo de ransomware LockBit en 2022.

¿Cómo protegerse del ransomware LockBit 5.0?

La reaparición de LockBit invita a repasar algunos puntos clave a la hora de pensar una estrategia de defensa y protección contra el ransomware. A tomar nota:

  • Actualizaciones y parches de seguridad: es importante estar al día en todos los equipos y software de las organizaciones, ya que una de las puertas de entrada para este tipo de ransomware son las vulnerabilidades conocidas en los sistemas.
  • Soluciones de detección avanzadas: las soluciones de seguridad y MDR son un aliado clave a la hora de monitorear cualquier comportamiento inusual en los sistemas: desde la ejecución de procesos no autorizados a un movimiento lateral.
  • Segmentación de la red y un modelo Zero-Trust: limitar el movimiento lateral en redes, con controles de acceso bien definidos y estrictos, representa una muy buena capa de seguridad. A su vez, el enfoque Zero-Trust otorga más seguridad, ya que propone que las empresas no confíen de manera predeterminada en nada que esté dentro o fuera de su red o perímetro.
  • Back-up: esta acción es fundamental, porque uno de los principales objetivos de este grupo de ransomware es encontrar información sensible y encriptarla. Es importante realizar copias de seguridad periódicas, en un almacenamiento aislado que no se pueda alterar.
  • Capacitación y concientización: este punto representa la primera barrera de defensa. Que cada persona sepa identificar un correo malicioso de phishing (otro vector de ataque de LockBit 5.0) puede evitar una infección de ransomware que comprometa los sistemas e información de la compañía.