¿Qué es LockBit? El ransomware que presuntamente hackeó a la Sociedad Hipotecaria Federal
La Sociedad Hipotecaria Federal (SHF) quedó bajo señalamientos de una posible vulneración informática a sus sistemas atribuida a LockBit, uno de los nombres más repetidos en el mercado criminal del ransomware.
De acuerdo con información de Fernando Gutiérrez para El Economista, el grupo habría publicado en foros de la dark web alrededor de 277 gigabytes de información presuntamente obtenida tras un ataque ocurrido cerca del 21 de enero, con un ultimátum de pago que habría vencido el 5 de febrero.
Te puede interesar
EconoHábitat
¿Hubo hackeo a la Sociedad Hipotecaria Federal? Esto se conoce del incidente
Tecnología
Ransomware y robo financiero son las principales ciberamenazas del sistema financiero mexicano: Banxico
El material divulgado incluiría bases de datos, información bancaria y datos personales asociados a créditos hipotecarios, además de carpetas organizadas por banco, con lo que se alcanzarían a ver relaciones operativas entre SHF y entidades financieras.
¿Qué es LockBit?
LockBit es una familia de ransomware que opera como servicio. Un equipo central desarrolla y mantiene el malware y su infraestructura, y una red de afiliados paga por usarla para entrar a organizaciones, robar información, cifrar sistemas y exigir rescates.
Esta lógica se describe como ransomware as a service, o RaaS. La operación se gestiona con un panel que facilita a afiliados el despliegue del cifrador, incluso con interfaces pensadas para usuarios con menor habilidad técnica, lo que amplía la base de atacantes capaces de ejecutar campañas.
¿Qué es ransomware?
Un ransomware cifra archivos y sistemas para volverlos inaccesibles y presiona a la víctima para pagar a cambio de una clave de descifrado. LockBit se volvió relevante porque combinó velocidad, operación industrial y una estrategia de depender solo del cifrado.
De acuerdo con Instituto Nacional de Ciberseguridad de España (Incibe), LockBit es una familia de ransomware altamente configurable y con técnicas de evasión y antianálisis, además de incorporar esquemas de doble y triple extorsión. Esto quiere decir que el atacante busca dos palancas. Una es detener la operación al cifrar. La otra es amenazar con divulgar datos robados si no hay pago.
Te puede interesar
Tecnología
México recibió 237,000 intentos de ataque de ransomware en el último año
Modelo de negocio
LockBit no es un grupo único que hace todo. Funciona como franquicia criminal. El desarrollador crea y mantiene el malware, mientras que los afiliados hacen la intrusión y ejecutan el ataque. En ese reparto, el dinero se divide entre el equipo central y los operadores afiliados.
Te puede interesar
Geopolítica
Operación internacional desmantela al grupo de hackers LockBit, considerado el "más dañino" del mundo
Ese detalle explica por qué LockBit aparece en incidentes de perfiles muy distintos. La misma “marca” puede estar detrás de ataques con accesos iniciales y herramientas diferentes, porque cada afiliado entra por donde puede.
Cómo entra LockBit a una organización
Los afiliados de LockBit suelen entrar por rutas comunes. El acceso inicial se da principalmente por phishing para robo de credenciales, abuso de cuentas válidas ya existentes y servicios remotos expuestos como RDP, vectores descritos en el reporte “Understanding TA505 and LockBit Affiliate Activity” elaborado por agencias nacionales de ciberseguridad como la CISA y el FBI en Estados Unidos, el Centro Nacional de Ciberseguridad del Reino Unido y la Oficina Federal de Seguridad de la Información de Alemania, entre otros.
También se han documentado intrusiones apoyadas en la explotación de vulnerabilidades conocidas en infraestructura corporativa ampliamente desplegada, incluidos dispositivos de perímetro y balanceadores de carga, un patrón reiterado en campañas asociadas a LockBit, de acuerdo con el análisis del Incibe.
Una vez dentro, el patrón operativo es consistente. Reconocimiento de red, movimiento lateral y exfiltración previa de información preceden al cifrado final, con uso de herramientas legítimas de administración y salida de datos hacia servicios en la nube.
Etapa final
El cifrado suele llegar cuando el atacante ya identificó qué servidores, respaldos y sistemas sostienen la operación. En la fase previa, LockBit muestra un patrón que busca dos cosas: control administrativo y bloqueo de rutas de recuperación.
Primero, intenta elevar privilegios para ejecutar con permisos altos. Luego busca debilitar la defensa y la recuperación. Los investigadores han documentado la detención de servicios y cambios en el registro vinculados con componentes de seguridad y con mecanismos relacionados con copias sombra, además de la eliminación de shadow copies, un paso que reduce opciones de restauración rápida.
Después activa el cifrado y deja notas de rescate. En el comportamiento descrito para LockBit, el malware recorre directorios y va depositando la nota en múltiples ubicaciones, con un esquema repetitivo por carpeta.
En paralelo, la operación puede ir muy parametrizada. El “builder” de LockBit permite ajustar exclusiones, terminar procesos, detener servicios, cifrar recursos compartidos de red y activar acciones de impacto como cambios visuales o limpieza de rastros.
Doble extorsión y el rol de la filtración
La publicación o amenaza de publicación de datos explica por qué muchos casos se narran en gigabytes, plazos y carpetas. En la doble extorsión, el atacante roba información primero y cifra después; además de usar la amenaza de divulgar para presionar el pago.
En el caso de LockBit, el gobierno de Estados Unidos lo ha descrito como un ransomware que acostumbra exfiltrar datos antes del cifrado para sostener la extorsión.
Golpe a LockBit
LockBit fue golpeado por una ofensiva internacional en 2024. El Departamento de Justicia de Estados Unidos informó de una operación conjunta con Reino Unido y socios internacionales la cual llevó a una incautación de infraestructura, afectación a sitios usados para extorsión y desarrollo de capacidades de descifrado para víctimas.
En Australia, la Policía Federal reportó que la operación afectó infraestructura crítica del grupo, incluidos servidores en varios países, congelamiento de más de 200 cuentas de criptomonedas y detenciones de presuntos actores en Polonia y Ucrania.
No obstante, este golpe no cerró el capítulo. Reportes técnicos en 2025 documentaron nueva actividad asociada a LockBit, con foco multiplataforma y mejoras de evasión y ofuscación, tras el desmantelamiento de 2024, de acuerdo con la firma de ciberseguridad ESET.
Qué significa para organizaciones como la SHF
Un ataque de ransomware no es solo un problema de tecnologías de la información (TI). Es un riesgo operativo, legal y reputacional, con impacto en continuidad de servicios y exposición de datos personales y financieros, un punto sensible en instituciones con información crediticia.
La economía del ransomware está diseñada para presionar incluso cuando hay respaldo. Una encuesta global de CrowdStrike reportó que 78% de organizaciones sufrió algún ataque en el último año, con una brecha entre la percepción de preparación y la realidad de recuperación. También encontró que pagar rescate no garantiza salida. La mayoría de quienes pagaron volvió a enfrentar ataques y en muchos casos hubo robo de datos de todos modos.
¿Qué hacer contra LockBit?
La guía práctica si se sospecha que se ha sido víctima del ransomware LockBit se divide en dos tiempos: contención inmediata y reducción de exposición futura.
En contención, la prioridad suele ser aislar sistemas afectados; frenar la propagación en la red; preservar la evidencia para la investigación; activar la respuesta a incidentes y evaluar la restauración. En el caso de LockBit, hay esfuerzos internacionales de descifrado para ciertos escenarios, con alcance limitado, basado en llaves recuperadas por agencias, de acuerdo con el Incibe.
Te puede interesar
Tecnología
Los mayores ciberataques que afectaron México y al mundo en 2025
En reducción de exposición, las agencias nacionales de ciberseguridad recomiendan medidas alineadas con prácticas base, con énfasis en cortar accesos iniciales comunes. Entre ellas menciona considerar navegadores en sandbox para reducir infecciones por navegación También se vuelve central endurecer accesos remotos, elevar el control sobre cuentas válidas, acelerar parches en sistemas expuestos y reducir la superficie de administración remota usada como atajo por los afiliados del ransomware.
En México, el presunto hackeo a la Sociedad Hipotecaria Federal muestra un patrón que ya se repite a escala global. Los ataques de ransomware no dependen de una falla extraordinaria, sino de accesos iniciales comunes que se mantienen abiertos, como credenciales válidas, servicios remotos expuestos y sistemas sin parches, y que permiten a grupos como LockBit operar con lógica industrial.
rodrigo.riquelme@eleconomista.mx
También te puede interesar
Prepárense para una América Latina más pragmática
Tráfico este viernes en CDMX: Marcha de ARMY a la Profeco, otras protestas y afectaciones viales
