Un caso reciente demuestra por qué confiar en la palabra de los ciberdelincuentes es un error que puede costar irreversiblemente la información crítica de una organización.
En el imaginario de muchas empresas que sufren un ataque de ransomware, el plan “B” parece claro: negociar, pagar el rescate y esperar la herramienta de descifrado que devolverá los datos a la normalidad. Sin embargo, el caso del ransomware VanHelsing demuestra que este camino puede terminar en una pesadilla mayor: pagar y, aun así, perder la información para siempre.
El problema no siempre es la mala fe o la traición directa del atacante. En ocasiones, los desarrolladores de ransomware filtran o venden su código a terceros —a menudo, afiliados con escasa o nula experiencia técnica— que pueden ejecutar con éxito un cifrado masivo, pero no son capaces de revertirlo. Esto provoca que, incluso si quieren cumplir con la “promesa” de devolver los datos, carezcan de las herramientas o la pericia necesarias para hacerlo.
El origen de VanHelsing y su modelo RaaS
Lanzado en marzo de 2025, VanHelsing es un ejemplo claro de la evolución del Ransomware-as-a-Service (RaaS). Este modelo ofrece a ciberdelincuentes sin conocimientos de programación una plataforma “llave en mano” para ejecutar ataques:
- Compatibilidad multiplataforma: Windows, Linux, BSD, arquitecturas ARM y, especialmente, servidores VMware ESXi.
- Objetivo de alto valor: al atacar ESXi, que aloja decenas o cientos de máquinas virtuales en un único servidor, el impacto es inmediato y potencialmente devastador para la víctima.
- Al menos ocho víctimas confirmadas: cifra probablemente inferior a la real, dado que muchas negociaciones se realizan de forma privada.
La popularidad de VanHelsing radica en su bajo umbral de entrada: basta con pagar el acceso al servicio y tener la disposición de extorsionar. Esto ha multiplicado el número de actores capaces de causar daños graves.
La filtración que expuso sus debilidades
El grupo no saltó a la palestra únicamente por sus ataques, sino por una filtración interna que reveló su código y su funcionamiento.
- Un desarrollador intentó vender el código fuente en el foro criminal RAMP por 10.000 dólares, incluyendo paneles de afiliados, sitio de filtración de datos en Tor y builders para crear variantes de Windows y Linux.
- En represalia, los operadores filtraron el código públicamente para arruinar la venta, aunque omitieron el builder de Linux y partes de las bases de datos.
- El análisis de Coveware by Veeam mostró un desarrollo desordenado, con errores básicos como archivos de proyecto de Visual Studio mal ubicados y ausencia de un diseño limpio y modular.
La filtración expuso no solo la arquitectura técnica de VanHelsing, sino también la realidad de que muchas bandas de ransomware carecen de disciplina y calidad en su desarrollo.
Cifrado roto: el verdadero peligro
El hallazgo más preocupante del análisis fue que el cifrador de VanHelsing, especialmente en su versión para ESXi, presenta fallos críticos que destruyen datos de forma irreversible:
- Escribe en ubicaciones de archivo incorrectas, sobreescribiendo datos que aún no estaban cifrados.
- Carece de mecanismos de verificación (transaction-safe design) para garantizar que el proceso pueda revertirse.
- Incluso con la herramienta de descifrado legítima, los datos dañados no se pueden recuperar.
En Windows, algunos de estos problemas parecían mitigados, pero en ESXi —uno de sus objetivos principales— la corrupción era prácticamente inevitable.
Un patrón repetido en otros grupos
La fuga de código no es algo aislado:
- Babuk (2021): su builder filtrado facilitó ataques masivos contra ESXi.
- Conti (2022): una brecha interna expuso herramientas que fueron reutilizadas por otros grupos.
- LockBit (2022): su filtración permitió que variantes imitadoras proliferaran rápidamente.
En todos los casos, la disponibilidad del código multiplicó el número de atacantes, pero también introdujo más errores, aumentando la probabilidad de corrupción de datos.
Lecciones para la defensa empresarial
El caso VanHelsing deja claro que pagar un rescate no es garantía de recuperación. Las organizaciones deben asumir que:
- No se puede confiar en los atacantes: ni en su palabra ni en su capacidad técnica.
- La resiliencia de datos es clave: copias de seguridad inmutables, frecuentes, fuera de línea y verificadas periódicamente.
- Los entornos críticos como ESXi deben endurecerse: segmentación de red, acceso restringido, autenticación fuerte, parches al día y monitorización continua.
- Los equipos de respuesta a incidentes deben evaluar la viabilidad de recuperación antes de decidir pagar, para evitar rescates inútiles.
Como subraya Veeam en su análisis, la estrategia no puede ser reactiva. El objetivo debe ser la resiliencia operativa, anticipando que una intrusión es posible y que la recuperación debe estar garantizada sin depender del ciberdelincuente.
Preguntas frecuentes (FAQ)
1. ¿Qué es el Ransomware-as-a-Service (RaaS)?
Es un modelo criminal en el que los desarrolladores de ransomware alquilan o venden su plataforma a afiliados que ejecutan los ataques, compartiendo las ganancias del rescate.
2. ¿Por qué ESXi es un objetivo tan atractivo?
Porque en un solo servidor ESXi pueden residir decenas de máquinas virtuales críticas. Cifrarlo supone interrumpir múltiples servicios empresariales de golpe, lo que aumenta la presión para pagar.
3. ¿Se puede recuperar la información tras un ataque de VanHelsing?
En muchos casos no, incluso pagando, debido a fallos en el propio cifrado que corrompen datos más allá de cualquier herramienta de descifrado.
4. ¿Qué medidas priorizar para protegerse?
Copias de seguridad inmutables y probadas, segmentación de red, endurecimiento de sistemas ESXi, parches continuos y planes de respuesta a incidentes con validación previa de las opciones de recuperación.
vía: veeam
