ExchangeDEX+
Compra criptosMercadosSpotFuturosGOLDEarnCentro de eventos
Más
Gala de Materias Primas con 0 Tarifas
LockBit es un ransomware como servicio (RaaS), con un núcleo que desarrolla el malware y una red de afiliados que ejecuta intrusiones, roba información, cifra sLockBit es un ransomware como servicio (RaaS), con un núcleo que desarrolla el malware y una red de afiliados que ejecuta intrusiones, roba información, cifra s

¿Qué es LockBit? El ransomware que presuntamente hackeó a la Sociedad Hipotecaria Federal

Autor: Eleconomista
Fuente: Eleconomista
2026/02/07 00:47
Lectura de 7 min
ELYSIA
EL$0.001949+2.36%
Eclipse
ES$0.12057+5.34%
Lagrange
LA$0.18744+4.11%

La Sociedad Hipotecaria Federal (SHF) quedó bajo señalamientos de una posible vulneración informática a sus sistemas atribuida a LockBit, uno de los nombres más repetidos en el mercado criminal del ransomware. 

De acuerdo con información de Fernando Gutiérrez para El Economista, el grupo habría publicado en foros de la dark web alrededor de 277 gigabytes de información presuntamente obtenida tras un ataque ocurrido cerca del 21 de enero, con un ultimátum de pago que habría vencido el 5 de febrero.

Te puede interesar

  • El Economista

    EconoHábitat

    ¿Hubo hackeo a la Sociedad Hipotecaria Federal? Esto se conoce del incidente

  • El Economista

    Tecnología

    Ransomware y robo financiero son las principales ciberamenazas del sistema financiero mexicano: Banxico

El material divulgado incluiría bases de datos, información bancaria y datos personales asociados a créditos hipotecarios, además de carpetas organizadas por banco, con lo que se alcanzarían a ver relaciones operativas entre SHF y entidades financieras.

¿Qué es LockBit?

LockBit es una familia de ransomware que opera como servicio. Un equipo central desarrolla y mantiene el malware y su infraestructura, y una red de afiliados paga por usarla para entrar a organizaciones, robar información, cifrar sistemas y exigir rescates.

Esta lógica se describe como ransomware as a service, o RaaS. La operación se gestiona con un panel que facilita a afiliados el despliegue del cifrador, incluso con interfaces pensadas para usuarios con menor habilidad técnica, lo que amplía la base de atacantes capaces de ejecutar campañas.

¿Qué es ransomware?

Un ransomware cifra archivos y sistemas para volverlos inaccesibles y presiona a la víctima para pagar a cambio de una clave de descifrado. LockBit se volvió relevante porque combinó velocidad, operación industrial y una estrategia de depender solo del cifrado.

De acuerdo con Instituto Nacional de Ciberseguridad de España (Incibe), LockBit es una familia de ransomware altamente configurable y con técnicas de evasión y antianálisis, además de incorporar esquemas de doble y triple extorsión. Esto quiere decir que el atacante busca dos palancas. Una es detener la operación al cifrar. La otra es amenazar con divulgar datos robados si no hay pago.

Te puede interesar

  • El Economista

    Tecnología

    México recibió 237,000 intentos de ataque de ransomware en el último año

Modelo de negocio

LockBit no es un grupo único que hace todo. Funciona como franquicia criminal. El desarrollador crea y mantiene el malware, mientras que los afiliados hacen la intrusión y ejecutan el ataque. En ese reparto, el dinero se divide entre el equipo central y los operadores afiliados.

Te puede interesar

  • El Economista

    Geopolítica

    Operación internacional desmantela al grupo de hackers LockBit, considerado el "más dañino" del mundo

Ese detalle explica por qué LockBit aparece en incidentes de perfiles muy distintos. La misma “marca” puede estar detrás de ataques con accesos iniciales y herramientas diferentes, porque cada afiliado entra por donde puede.

Cómo entra LockBit a una organización

Los afiliados de LockBit suelen entrar por rutas comunes. El acceso inicial se da principalmente por phishing para robo de credenciales, abuso de cuentas válidas ya existentes y servicios remotos expuestos como RDP, vectores descritos en el reporte “Understanding TA505 and LockBit Affiliate Activity” elaborado por agencias nacionales de ciberseguridad como la CISA y el FBI en Estados Unidos, el Centro Nacional de Ciberseguridad del Reino Unido y la Oficina Federal de Seguridad de la Información de Alemania, entre otros.

También se han documentado intrusiones apoyadas en la explotación de vulnerabilidades conocidas en infraestructura corporativa ampliamente desplegada, incluidos dispositivos de perímetro y balanceadores de carga, un patrón reiterado en campañas asociadas a LockBit, de acuerdo con el análisis del Incibe.

Una vez dentro, el patrón operativo es consistente. Reconocimiento de red, movimiento lateral y exfiltración previa de información preceden al cifrado final, con uso de herramientas legítimas de administración y salida de datos hacia servicios en la nube.

Etapa final

El cifrado suele llegar cuando el atacante ya identificó qué servidores, respaldos y sistemas sostienen la operación. En la fase previa, LockBit muestra un patrón que busca dos cosas: control administrativo y bloqueo de rutas de recuperación.

Primero, intenta elevar privilegios para ejecutar con permisos altos. Luego busca debilitar la defensa y la recuperación. Los investigadores han documentado la detención de servicios y cambios en el registro vinculados con componentes de seguridad y con mecanismos relacionados con copias sombra, además de la eliminación de shadow copies, un paso que reduce opciones de restauración rápida.

Después activa el cifrado y deja notas de rescate. En el comportamiento descrito para LockBit, el malware recorre directorios y va depositando la nota en múltiples ubicaciones, con un esquema repetitivo por carpeta.

En paralelo, la operación puede ir muy parametrizada. El “builder” de LockBit permite ajustar exclusiones, terminar procesos, detener servicios, cifrar recursos compartidos de red y activar acciones de impacto como cambios visuales o limpieza de rastros.

Doble extorsión y el rol de la filtración

La publicación o amenaza de publicación de datos explica por qué muchos casos se narran en gigabytes, plazos y carpetas. En la doble extorsión, el atacante roba información primero y cifra después; además de usar la amenaza de divulgar para presionar el pago.

En el caso de LockBit, el gobierno de Estados Unidos lo ha descrito como un ransomware que acostumbra exfiltrar datos antes del cifrado para sostener la extorsión.

Golpe a LockBit

LockBit fue golpeado por una ofensiva internacional en 2024. El Departamento de Justicia de Estados Unidos informó de una operación conjunta con Reino Unido y socios internacionales la cual llevó a una incautación de infraestructura, afectación a sitios usados para extorsión y desarrollo de capacidades de descifrado para víctimas.

En Australia, la Policía Federal reportó que la operación afectó infraestructura crítica del grupo, incluidos servidores en varios países, congelamiento de más de 200 cuentas de criptomonedas y detenciones de presuntos actores en Polonia y Ucrania.

No obstante, este golpe no cerró el capítulo. Reportes técnicos en 2025 documentaron nueva actividad asociada a LockBit, con foco multiplataforma y mejoras de evasión y ofuscación, tras el desmantelamiento de 2024, de acuerdo con la firma de ciberseguridad ESET.

Qué significa para organizaciones como la SHF

Un ataque de ransomware no es solo un problema de tecnologías de la información (TI). Es un riesgo operativo, legal y reputacional, con impacto en continuidad de servicios y exposición de datos personales y financieros, un punto sensible en instituciones con información crediticia.

La economía del ransomware está diseñada para presionar incluso cuando hay respaldo. Una encuesta global de CrowdStrike reportó que 78% de organizaciones sufrió algún ataque en el último año, con una brecha entre la percepción de preparación y la realidad de recuperación. También encontró que pagar rescate no garantiza salida. La mayoría de quienes pagaron volvió a enfrentar ataques y en muchos casos hubo robo de datos de todos modos.

¿Qué hacer contra LockBit?

La guía práctica si se sospecha que se ha sido víctima del ransomware LockBit se divide en dos tiempos: contención inmediata y reducción de exposición futura.

En contención, la prioridad suele ser aislar sistemas afectados; frenar la propagación en la red; preservar la evidencia para la investigación; activar la respuesta a incidentes y evaluar la restauración. En el caso de LockBit, hay esfuerzos internacionales de descifrado para ciertos escenarios, con alcance limitado, basado en llaves recuperadas por agencias, de acuerdo con el Incibe.

Te puede interesar

  • El Economista

    Tecnología

    Los mayores ciberataques que afectaron México y al mundo en 2025

En reducción de exposición, las agencias nacionales de ciberseguridad recomiendan medidas alineadas con prácticas base, con énfasis en cortar accesos iniciales comunes. Entre ellas menciona considerar navegadores en sandbox para reducir infecciones por navegación También se vuelve central endurecer accesos remotos, elevar el control sobre cuentas válidas, acelerar parches en sistemas expuestos y reducir la superficie de administración remota usada como atajo por los afiliados del ransomware.

En México, el presunto hackeo a la Sociedad Hipotecaria Federal muestra un patrón que ya se repite a escala global. Los ataques de ransomware no dependen de una falla extraordinaria, sino de accesos iniciales comunes que se mantienen abiertos, como credenciales válidas, servicios remotos expuestos y sistemas sin parches, y que permiten a grupos como LockBit operar con lógica industrial.

rodrigo.riquelme@eleconomista.mx

Oportunidad de mercado
Logo de ELYSIA
Precio de ELYSIA(EL)
$0.001949
$0.001949$0.001949
+1.14%
USD
Gráfico de precios en vivo de ELYSIA (EL)
Aviso legal: Los artículos republicados en este sitio provienen de plataformas públicas y se ofrecen únicamente con fines informativos. No reflejan necesariamente la opinión de MEXC. Todos los derechos pertenecen a los autores originales. Si consideras que algún contenido infringe derechos de terceros, comunícate a la dirección service@support.mexc.com para solicitar su eliminación. MEXC no garantiza la exactitud, la integridad ni la actualidad del contenido y no se responsabiliza por acciones tomadas en función de la información proporcionada. El contenido no constituye asesoría financiera, legal ni profesional, ni debe interpretarse como recomendación o respaldo por parte de MEXC.

También te puede interesar

Prepárense para una América Latina más pragmática

Prepárense para una América Latina más pragmática

La construcción de una América Latina más fuerte requerirá, en última instancia, que los gobiernos superen sus disputas políticas, opina Juan Pablo Spinetto.
Compartir
Elfinanciero2026/02/07 02:06
Tráfico este viernes en CDMX: Marcha de ARMY a la Profeco, otras protestas y afectaciones viales

Tráfico este viernes en CDMX: Marcha de ARMY a la Profeco, otras protestas y afectaciones viales

La SSC-CDMX alertó por marchas y concentraciones este viernes 6 de febrero. Destaca la movilización de fans de BTS que exigen transparencia en la venta de bolet
Compartir
Eleconomista2026/02/07 01:43
El oro y la plata brillan por demanda de refugio ante caída de bolsas y tensiones EU-Irán

El oro y la plata brillan por demanda de refugio ante caída de bolsas y tensiones EU-Irán

El oro repuntó este viernes y se encaminaba a ‍registrar una ganancia semanal, impulsado por la búsqueda de oportunidades.
Compartir
Eleconomista2026/02/07 02:37