Tres grupos de ransomware se unieron en una "corporación del mal": comparten código, bases de datos y hasta centrales eléctricas.

Tres conocidas bandas de extorsionadores — DragonForce, Qilin y LockBit — anunciaron la creación de una alianza. En esencia, se trata de un intento de coordinar las acciones de varios grandes operadores de RaaS (ransomware-as-a-service, «secuestro de datos como servicio»), y los analistas advierten que tal consolidación puede aumentar la escala y la eficacia de los ataques.

El iniciador de la unión fue DragonForce. A comienzos de septiembre, casi al mismo tiempo que apareció la nueva versión del cifrador LockBit 5.0, representantes de DragonForce públicamente propusieron a sus colegas dejar las disputas internas y acordar unas «normas del mercado» — condiciones equitativas, renuncia a los insultos públicos y apoyo mutuo. LockBit reaccionó positivamente, y más tarde DragonForce anunció oficialmente la alianza de las tres bandas, invitando también a otras bandas de extorsionadores a colaborar.

Los analistas ven en esto la señal de una tendencia peligrosa. En el informe de ReliaQuest para el tercer trimestre de 2025 se indica que la unión puede dar lugar a campañas más frecuentes y coordinadas y a la expansión de los objetivos de los ataques — hasta instalaciones de infraestructura crítica. No se descarta que la alianza pueda ayudar a LockBit a recuperar posiciones tras el duro golpe de las fuerzas del orden en 2024. Entonces, en febrero, las operaciones internacionales condujeron a la incautación de servidores, nombres de dominio y claves de descifrado; en mayo los investigadores también vincularon al grupo con una persona concreta —Dmitri Yuryevich Khoroshev—, pero él sigue en libertad. Esas acciones minaron la confianza de los afiliados, y muchos antiguos socios de LockBit se pasaron a otras bandas.

Es importante que, en la práctica, aún no se ha constatado una infraestructura unificada de la alianza: no ha aparecido un sitio común para filtrar datos ni un portal de fugas único, y cada banda sigue asumiendo la responsabilidad de sus propias operaciones. Qilin, por ejemplo, declaró públicamente el hackeo de Asahi Beer, y LockBit y DragonForce continúan publicando sus ataques por separado. No obstante, el intercambio de experiencias y recursos —desde herramientas hasta bases de clientes— ya amplía por sí solo las capacidades de los delincuentes.

Preocupa especialmente el cambio de retórica de LockBit tras el lanzamiento de la versión 5.0: en la documentación asociada la banda eliminó tabúes anteriores y señaló explícitamente que los ataques contra infraestructura crítica —centrales eléctricas y instalaciones similares— ahora están permitidos, salvo que exista un acuerdo por separado con el FBI. Esto significa que, al menos de forma declarativa, los operadores consideran admisibles los ataques contra sectores que antes intentaban evitar.

Paralelamente se desarrolla una alianza angloparlante de hackers: Scattered Spider, ShinyHunters y Lapsus$ anunciaron una nueva coalición bajo el nombre Scattered Lapsus$ Hunters y lanzaron su propio sitio de filtraciones, donde ya se han publicado datos de varias empresas. ReliaQuest advierte que este grupo podría evolucionar hacia un proveedor de RaaS, combinando habilidades de ingeniería social con tecnologías de cifrado.

Los investigadores consideran la aparición de tales alianzas como un paso hacia una nueva etapa de la economía delictiva: en lugar de la competencia fragmentada, las bandas de extorsionadores comienzan a construir vínculos «empresariales» sostenibles — compartiendo código, infraestructura y canales de comercialización de datos. Esto hace que los ataques sean más masivos y difíciles de detener, porque al mismo tiempo aumentan los recursos, la escala y el profesionalismo de los delincuentes.