CISOs en alerta ante un nuevo ransomware que apaga máquinas virtuales antes de cifrarlas, desarmando la respuesta operativa. El daño potencial va más allá de los datos: afecta a la continuidad del negocio y puede tener consecuencias millonarias.
Cuando hablamos de ransomware, la narrativa habitual se centra en el cifrado de datos y el posterior chantaje. Pero el grupo BERT Ransomware ha dado un giro inesperado y preocupante al guion. Su último modus operandi no solo cifra las máquinas virtuales de servidores VMware ESXi: las apaga primero, saboteando así cualquier intento de recuperación inmediata. El impacto económico de esta táctica ya se deja sentir en empresas de sectores críticos.
De la interrupción al colapso operativo
La estrategia de BERT va más allá del cifrado. Como advierte el último informe de Trend Micro, el grupo ha diseñado su malware para reconocer entornos virtualizados y enviar comandos que fuerzan el apagado de máquinas virtuales. Esta acción interrumpe sistemas de forma abrupta y deja sin efecto medidas de contención habituales, como snapshots o conmutación por error.
Según estimaciones de expertos en ciberseguridad, el coste medio de una hora de inactividad para una empresa mediana puede superar los 300.000 euros. En el caso de empresas del sector salud o financiero, los daños colaterales pueden ser incluso mayores, afectando a pacientes, operaciones bursátiles o servicios críticos.
CISOs: entre la prevención y la reacción
El impacto de BERT ha sacudido a los responsables de seguridad de múltiples organizaciones, especialmente en Asia, Europa y Estados Unidos. Según confirma un CISO del sector tecnológico europeo (bajo condición de anonimato):
“Lo más preocupante no es solo el cifrado, sino el hecho de que apagan las máquinas antes. Nos obliga a repensar todos nuestros procedimientos de recuperación. No basta con tener backups. Hay que garantizar que podemos volver a operar sin depender del estado de las máquinas virtuales afectadas.”
La respuesta CISO está siendo diversa: desde el fortalecimiento de controles de red, pasando por el aislamiento físico de servidores clave, hasta el rediseño de estrategias de backup inmutable.
David Carrero (Stackscale): “El aislamiento es la primera línea de defensa”
Para David Carrero, cofundador de Stackscale (Grupo Aire), empresa especializada en infraestructura cloud privada y alta disponibilidad, aislar los entornos de virtualización es una necesidad básica, no opcional:
“En Stackscale siempre recomendamos aislar totalmente los entornos de virtualización como ESXi o Proxmox mediante VPN o redes privadas. Exponerlos directamente a internet, incluso por comodidad, es abrir la puerta a amenazas como BERT. El aislamiento nos da tiempo para ampliar los parches necesarios sobre un entorno que no está accesible libremente a Internet.”
Carrero recalca además que muchas organizaciones subestiman la criticidad del canal de administración de sus hipervisores, que suele ser el primer objetivo de este tipo de malware.
Ataques quirúrgicos, consecuencias millonarias
El grupo BERT, rastreado también como “Water Pombero”, no actúa al azar. Su enfoque está orientado a entornos empresariales con alta dependencia de la virtualización, y su malware presenta capacidades técnicas avanzadas, como:
- Apagado forzado de VMs antes de cifrado
- Cifrado multihilo (hasta 50 hilos)
- Variante Windows con escalada de privilegios y evasión de seguridad (PowerShell)
- Uso de infraestructuras de comando y control alojadas en servidores controlados por actores rusos
Según Infosecurity Magazine, las víctimas confirmadas pertenecen a sectores clave como salud, tecnología y organización de eventos, y las pérdidas económicas están en proceso de evaluación.
Medidas económicas y técnicas para contener el impacto
La recomendación más urgente de expertos como los de Trend Micro y Stackscale es revisar urgentemente:
- La exposición pública de hipervisores
- La arquitectura de respaldo, optando por soluciones inmutables
- La segmentación de red, para evitar movimientos laterales del malware
- El entrenamiento de equipos de IT y seguridad para reconocer señales de intrusión
En paralelo, algunos CIOs y CFOs ya están evaluando seguros de ciberseguridad más completos, así como nuevos modelos de análisis de impacto económico ante ransomware dirigido.
Conclusión: repensar la continuidad desde la virtualización
BERT Ransomware no solo plantea un reto técnico. Pone en entredicho la resiliencia misma de las infraestructuras modernas, que dependen en gran medida de la virtualización para garantizar flexibilidad, escalabilidad y alta disponibilidad. Cuando un atacante logra interrumpir estos pilares, el coste no es solo tecnológico: es económico, reputacional y operativo.
En palabras de David Carrero:
“Los ataques están cada vez más cerca de las capas fundamentales de nuestras infraestructuras. La virtualización ya no es un lujo técnico: es el núcleo. Protegerla es proteger el negocio.”
