150 hackeos y archivos vacíos: ¿qué pasa con los supuestos «temibles» hackers 0APT?
Por qué las empresas no deben alarmarse por ahora
Al comienzo de 2026 apareció en el ciberespacio un nuevo actor: el grupo 0APT, que afirmó haber creado su propia plataforma de «extorsión como servicio». En pocas semanas logró causar revuelo, provocando una verdadera alarma en los equipos de seguridad de la información de varias empresas. Sin embargo, los especialistas de Intel 471 concluyeron que la mayoría de las afirmaciones del grupo probablemente eran falsas.
0APT apareció en enero de 2026 y publicó con rapidez en su sitio de filtraciones en la red Tor una lista de más de 150 supuestas organizaciones hackeadas. Fue precisamente la velocidad y la escala de las afirmaciones lo que alarmó a los analistas. Los archivos que el grupo presentó como pruebas del robo de datos llegaban a varios terabytes cada uno; sin embargo, al descargarlos parcialmente resultaban estar llenos de bytes nulos repetidos, es decir, no contenían datos útiles. Las "víctimas" en su mayoría no podían verificarse y parecían haber sido generadas de forma artificial.
La situación se agravó cuando entre los objetivos listados empezaron a aparecer nombres de empresas reales. Algunas de ellas ya habían iniciado procedimientos internos de respuesta a incidentes. No obstante, Intel 471 llegó a la conclusión de que no había pruebas convincentes de ataques reales: la muestra de software malicioso atribuida al grupo resultó ser más bien un desarrollo incompleto que una herramienta de cifrado plenamente funcional.
Para comparar: en enero de 2026 el mayor número de ataques confirmados fue realizado por el grupo Qilin — más de 100 casos. En 2023 el grupo CLOP explotó vulnerabilidades en servidores de transferencia de archivos administrados y atacó a unas 130 víctimas. A diferencia de 0APT, ambos grupos tienen un historial comprobado de operaciones reales.
Aunque la actividad actual de 0APT se considera poco fiable, Intel 471 no descarta que el grupo esté probando infraestructura para ataques futuros. En relación con esto, el equipo desarrolló un conjunto de herramientas para la búsqueda de amenazas orientadas al comportamiento característico de 0APT: actividad sospechosa de PowerShell, creación de archivos WinRAR, comandos remotos WMI, interacción SMB no estándar y eliminación de copias sombra.
Los especialistas recomiendan no iniciar una respuesta a gran escala basándose únicamente en la aparición del nombre de una organización en el sitio de filtraciones: primero hay que verificar la autenticidad de las pruebas presentadas. Si los datos parecen generados o dañados, conviene ser escéptico ante esas afirmaciones. Informar a tiempo a las partes interesadas internas sobre la naturaleza de estas amenazas falsas permite evitar la alarma y ahorrar los recursos del equipo de seguridad.