Sin sitio web, pero con contrato inteligente: expertos en ciberseguridad preocupados por nueva tendencia entre hackers extorsionadores
La ciberdelincuencia parece haber cambiado para siempre las reglas del juego.
La agrupación DeadLock, surgida en el horizonte de las ciberamenazas en el verano de 2025, sigue siendo una de las más sigilosas y tecnológicamente sofisticadas. Los especialistas de Group-IB registraron que los atacantes adoptan un enfoque atípico: renuncian al esquema doble habitual de extorsión, no publican los datos de las víctimas ni mantienen un sitio propio para filtraciones. En su lugar, las amenazas se limitan a prometer vender la información sustraída en foros clandestinos.
Pero lo que más llamó la atención de los investigadores no fue eso. DeadLock utiliza contratos inteligentes en la cadena de bloques Polygon para enmascarar la infraestructura de control de sus ataques. Este enfoque permite cambiar dinámicamente las direcciones de los servidores proxy por los que las víctimas se comunican con el grupo, lo que hace su bloqueo prácticamente imposible. Técnicamente, esto se implementa mediante un archivo HTML dejado en el sistema infectado, que sugiere instalar la aplicación de mensajería descentralizada Session. Ésta sirve como canal principal de comunicación entre la víctima y los atacantes.
Según un representante del equipo analítico de Group-IB, el uso de contratos inteligentes con estos fines abre enormes posibilidades: el esquema permite crear un número infinito de variantes para ocultar direcciones. Esta técnica ya había atraído la atención de otros grupos atacantes. Por ejemplo, en otoño de 2025 los especialistas de Google Threat Intelligence Group informaron que desde febrero de ese mismo año los ciberdelincuentes norcoreanos emplearon un método similar, conocido como EtherHiding. En esos casos, el código malicioso se ocultaba directamente dentro de los contratos inteligentes, lo que proporcionaba una infraestructura casi invulnerable.
Aunque los analistas de Group-IB aún no han determinado cómo DeadLock obtiene acceso a las redes de las víctimas, observaciones tempranas de Cisco Talos indican el posible uso de la técnica BYOVD — la instalación de controladores vulnerables, así como la explotación de vulnerabilidades en los sistemas de protección para desactivar procesos antivirus.
Por ahora, los contratos inteligentes siguen siendo el aspecto más estudiado de las operaciones de DeadLock. Su uso subraya la creciente influencia de las tecnologías blockchain en el arsenal de los ciberdelincuentes y, al mismo tiempo, complica el trabajo de los defensores, que ahora deben adaptarse a nuevas formas de evadir la detección.