Los grupos de ransomware llevan años operando con la confianza de que son intocables tras capas de anonimato, afiliados y servidores ocultos. Esa confianza recibió un golpe severo en mayo de 2026 cuando el grupo conocido como The Gentlemen — el segundo más activo del mundo en 2026 según Check Point Research — sufrió el hackeo de su propia infraestructura interna. El resultado fue un dump de datos único: chats internos, registros de afiliados, transcripciones de negociaciones de rescate, credenciales de servidor y el código de su panel RaaS. Check Point Research obtuvo parte de esos datos antes de que fueran eliminados y publicó un análisis completo que ofrece la mejor ventana que los defensores han tenido nunca al interior de una operación de ransomware profesional. Esto es lo que encontraron.

¿Qué reveló la filtración interna de The Gentlemen?

La cadena de eventos comenzó el 2 de mayo de 2026, cuando el proveedor de hosting 4VPS publicó un aviso de que su sitio web y sistemas de facturación habían sido atacados. 4VPS tiene reputación como servicio de hosting usado por actores del ecosistema underground, y parte de la infraestructura de The Gentlemen estaba alojada allí. El 4 de mayo, el administrador del grupo reconoció en foros underground que su base de datos interna había sido comprometida. El 5 de mayo, un usuario con el nick n7778 publicó en el foro Cracked una oferta de venta de los datos por 10.000 dólares en Bitcoin. Días después, el mismo usuario publicó el dump de forma gratuita en MediaFire antes de que fuera eliminado. Los hechos clave que reveló el análisis de Check Point Research son los siguientes:

  • 1.570+ víctimas reales, 332 publicadas. El DLS de The Gentlemen mostraba 332 organizaciones. El dump interno reveló más de 1.570 víctimas comprometidas. La diferencia son las organizaciones que pagaron el rescate en silencio y nunca fueron publicadas. Es decir: más del 78% de sus víctimas pagaron y nunca aparecieron en las listas públicas de afectados.
  • El administrador es un ex-afiliado de Qilin. El operador central, identificado como zeta88/hastalamuerte, proviene del ecosistema de Qilin — el mismo grupo que atacó a Ahorramas en España en mayo de 2026. Aprendió el oficio como afiliado y construyó su propio RaaS con ese conocimiento. Construyó el panel completo usando asistentes de código de IA (DeepSeek y Qwen).
  • Estructura corporativa de ~9 operadores. El grupo tiene roles perfectamente definidos: administrador, gestores de afiliados, especialistas en credenciales, operadores de infraestructura y un equipo de desarrollo activo. No es una operación improvisada.
  • 90% de comisión para afiliados. The Gentlemen ofrece a sus afiliados el 90% del rescate, frente al estándar del 80-85% del sector. Esto les da ventaja competitiva para reclutar los mejores operadores del ecosistema criminal.
  • Calibración del rescate al techo del ciberseguro. Los chats revelan que el grupo cruza los datos de las víctimas con información de ZoomInfo para estimar sus ingresos y ajustar la demanda exactamente al límite máximo de su póliza de ciberseguro. En un caso documentado, sabían que la víctima tenía un techo de 10 millones de dólares y fijaron la demanda exactamente en esa cifra.
  • Chain-victimization documentada. En abril de 2026, The Gentlemen comprometió una consultora de software en el Reino Unido y usó los datos robados — credenciales de clientes, documentación de infraestructura, accesos — para lanzar un ataque contra uno de los clientes de esa consultora en Turquía. Luego publicaron a ambas organizaciones en su DLS, llamando explícitamente a la consultora británica su “access broker” para el ataque turco. Una táctica de presión diseñada para provocar un conflicto legal y reputacional entre la víctima y su proveedor.
  • Vector de entrada principal: credenciales de infostealers. Los chats muestran que el equipo de acceso inicial usa sistemáticamente Snusbase y otros motores de búsqueda de logs de infostealers para encontrar credenciales válidas de empleados antes de lanzar el ataque. No necesitan exploits complejos: compran el acceso a las cuentas de los empleados porque esas credenciales ya están a la venta en el mercado underground.
  • Dispositivos de borde sin parche como puerta trasera. VPN appliances, firewalls y remote access gateways sin parche son el segundo vector más frecuente. El grupo usa ~30 herramientas diferentes una vez dentro, incluyendo EDR-killers, NTLM relay y despliegue de ransomware vía GPO.

Por qué The Gentlemen es uno de los grupos más peligrosos para empresas españolas

The Gentlemen no es un actor aleatorio en el panorama de amenazas español. Check Point Research lo sitúa como el segundo grupo de ransomware más activo del mundo en 2026, solo por detrás de Qilin — que ya tiene un historial documentado de ataques en España (Ahorramas, Asefa, Maset, Ciudad Autónoma de Melilla). Que el #2 global sea un grupo fundado por un ex-afiliado de Qilin, con conocimiento directo del mercado y las técnicas de ese ecosistema, no es una coincidencia menor.

Tres factores hacen de The Gentlemen un riesgo específico para el tejido empresarial español:

  1. Uso sistemático de infostealers para acceso inicial. España tiene una alta tasa de infección por infostealers (malware que roba credenciales de sesiones de navegador, VPN y aplicaciones corporativas). Las credenciales de empleados españoles están disponibles en el mercado underground. El modelo operativo de The Gentlemen empieza exactamente ahí.
  2. Calibración al ciberseguro. La penetración del ciberseguro en la empresa española media es inferior a la del mercado anglosajón, pero las empresas que lo tienen suelen tenerlo por importes estandarizados y predecibles. El modelo de The Gentlemen de cruzar datos de revenue con ZoomInfo para fijar el rescate exactamente en el techo del seguro convierte la póliza en el punto de referencia de la extorsión.
  3. Chain-victimization como arma estratégica. El ecosistema de proveedores tecnológicos españoles es muy interdependiente. Una consultora IT, un integrador de sistemas o un proveedor de servicios gestionados puede ser el punto de entrada para un ataque en cadena que afecte a sus clientes finales.

Cómo opera The Gentlemen: del acceso inicial al rescate calibrado al ciberseguro

La filtración interna permite reconstruir la cadena operativa completa con un nivel de detalle que rara vez está disponible para los defensores:

  1. Reconocimiento y compra de acceso. El equipo de acceso inicial rastrea logs de infostealers en plataformas como Snusbase para encontrar credenciales corporativas válidas. También identifica dispositivos de borde (VPN, firewalls, gateways) sin parche mediante escaneos con Shodan y herramientas similares.
  2. Entrada y persistencia inicial. Con las credenciales o la vulnerabilidad del dispositivo de borde, el atacante entra en la red, establece persistencia vía una cuenta administrativa adicional o un acceso RDP y empieza el reconocimiento interno.
  3. Reconocimiento interno y valoración. El grupo usa ~30 herramientas distintas para mapear la red interna, identificar activos críticos, localizar controladores de dominio y estimar el valor de la víctima. En paralelo, cruza los datos de la empresa con ZoomInfo para calibrar la demanda al techo de su ciberseguro.
  4. Exfiltración de datos. Antes de cifrar, The Gentlemen exfiltra los datos más sensibles. La doble extorsión es estándar: “si no pagas, publicamos”. Los datos de clientes, acuerdos comerciales, información financiera y contratos con terceros son prioritarios.
  5. Cifrado y despliegue del ransomware. El ransomware se despliega vía Group Policy Objects (GPO) para maximizar la cobertura en el menor tiempo posible. Cifra entornos Windows, Linux, NAS y ESXi. Los EDR-killers deshabilitan las soluciones de detección antes del cifrado.
  6. Negociación y presión. La demanda se fija en el techo del ciberseguro. Si la víctima no responde, publican su nombre en el DLS. Si tienen datos de los clientes de la víctima, amenazan con usarlos en ataques secundarios — como documentó el caso de la consultora británica y su cliente en Turquía.

Lecciones clave para directivos, CISOs y equipos SOC

La filtración interna de The Gentlemen es una de las fuentes de inteligencia táctica más valiosas que los defensores han tenido nunca sobre el interior de una operación RaaS. Las lecciones accionables son directas:

  • El límite de tu ciberseguro no es un secreto. The Gentlemen cruza datos de revenue público con estimaciones de pólizas estándar para calibrar su demanda. Revelar el techo de tu póliza en una negociación de rescate es el mayor error que puedes cometer. Idealmente, tampoco debe filtrarse en comunicaciones internas que puedan ser exfiltradas.
  • Las credenciales de infostealers de tus empleados ya pueden estar en el mercado. Si algún empleado ha tenido una infección por infostealer en un dispositivo personal o corporativo, sus credenciales de VPN, correo y aplicaciones corporativas pueden estar a la venta ahora mismo. Monitorizar la presencia de credenciales corporativas en el mercado underground es una medida de defensa preventiva.
  • Tu seguridad depende también de la de tus proveedores. La chain-victimization documentada no es un caso aislado: es una táctica. Si tu consultora IT, tu integrador de sistemas o tu MSP es comprometido, tú eres la siguiente víctima. La diligencia debida sobre la postura de seguridad de los proveedores con acceso a tus sistemas ya no es opcional.
  • Parchea los dispositivos de borde como si tus datos dependieran de ello — porque dependen. VPN appliances, firewalls y gateways sin parche son el segundo vector de entrada más frecuente de The Gentlemen. El historial de CVEs sin parche en entornos españoles es preocupante. Esta semana ya cubrimos el zero-day de Exchange OWA: el patrón es el mismo.
  • El EDR no es infalible si no va acompañado de monitorización activa. The Gentlemen usa EDR-killers antes de desplegar el ransomware. Tener un EDR instalado no es suficiente si no hay monitorización activa que detecte los intentos de deshabilitarlo.
  • El 78% de las víctimas pagó y nunca salió en las listas. Este dato es fundamental para cualquier directivo que piense que “pagar el rescate es la solución rápida”. No sólo no garantiza la eliminación de los datos, sino que convierte a la víctima en un objetivo conocido y pagador para futuros ataques.

La ciberseguridad como prioridad estratégica

La filtración interna de The Gentlemen no es solo una historia sobre un grupo criminal que recibió su propia medicina. Es un manual de cómo operan los grupos de ransomware más sofisticados del mundo: con estructuras corporativas, división de roles, desarrollo ágil de software con IA, inteligencia comercial sobre sus víctimas y tácticas de presión psicológica diseñadas para maximizar el cobro.

Para las organizaciones españolas, el mensaje es simple: estos grupos no atacan al azar. Investigan, calibran, usan tus datos contra ti y atacan a tus proveedores para llegar a ti. La defensa tiene que ser igual de sistemática: credenciales monitorizadas, dispositivos de borde parcheados, proveedores auditados y un plan de respuesta a ransomware que no incluya “pagar en silencio” como primera opción.

Apolo Cybersecurity: inteligencia táctica y protección contra grupos RaaS como The Gentlemen

En Apolo Cybersecurity ayudamos a empresas españolas a protegerse frente a los vectores que The Gentlemen y grupos similares usan sistemáticamente: monitorización de credenciales comprometidas en el mercado underground, auditoría y hardening de dispositivos de borde, evaluación de la postura de seguridad de proveedores críticos, detección de EDR-killers y movimiento lateral, y planes de respuesta a ransomware que contemplan la doble extorsión y las implicaciones del ciberseguro.

Si tu organización tiene una póliza de ciberseguro y no ha revisado cómo gestiona la confidencialidad de ese dato, o si algún proveedor con acceso a tus sistemas no ha pasado por una evaluación de seguridad reciente, el playbook de The Gentlemen ya tiene en cuenta esas dos brechas.

Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookiespolítica seguridad de la información
Privacy Settings
Copyright © 2025 Apolo Cybersecurity