Un antivirus que en realidad es un virus: hackers idean una forma ingeniosa de burlar Windows.
Al parecer, el ciberespacio iraní acaba de recibir refuerzos.
La agrupación Pay2Key, vinculada a Irán, volvió a hacerse notar —y lo hace de forma claramente más agresiva que antes. A finales de febrero los atacantes vulneraron una organización médica estadounidense y, en apenas tres horas, cifraron toda la infraestructura, aunque mantuvieron acceso al sistema casi una semana.
El incidente fue analizado por especialistas de Beazley Security junto con Halcyon. Varios días antes del ataque los atacantes obtuvieron el control de una cuenta de administrador y no se apresuraron a actuar. Esa táctica de espera ya se había visto en Pay2Key: primero afianzarse, luego preparar tranquilamente el golpe.
La actividad del grupo se intensificó en el contexto de una nueva escalada alrededor de Irán. Esta relación no es nueva: los ataques de Pay2Key suelen coincidir con acontecimientos políticos y con mayor frecuencia se dirigen contra organizaciones en Estados Unidos e Israel.
La nueva versión del ransomware difiere notablemente de las campañas del año pasado. Los desarrolladores revisaron los mecanismos de ocultación, ejecución y eliminación de rastros. Parte de las firmas de detección antiguas ya no funcionan. Al mismo tiempo, en este último caso no se hallaron indicios de robo de datos, lo que se aparta del esquema habitual de doble extorsión, cuando se amenaza con publicar la información sustraída.
Pay2Key se dio a conocer por primera vez en 2020. Entonces se pudieron rastrear pagos desde empresas israelíes hasta un exchange iraní de criptomonedas que exigía documento nacional de identidad para registrarse. Posteriormente organismos estadounidenses vincularon directamente la actividad del grupo con los intereses del Estado iraní y calificaron las operaciones como parte de un enfrentamiento informativo.
A finales de 2025 los integrantes de Pay2Key ofrecieron inesperadamente todo el proyecto a la venta en la dark web y en su cuenta de la red social X. Ofrecieron tanto la infraestructura junto con el modelo «extorsión como servicio», como el código fuente. Se desconoce cómo terminó ese intento de venta.
Durante el ataque los atacantes actuaron según un esquema probado. Primero utilizaron la herramienta legítima de acceso remoto TeamViewer para no llamar la atención. Luego recopilaron credenciales con Mimikatz y otras utilidades, escanearon la red y empezaron a moverse lateralmente entre sistemas. Paralelamente estudiaron las copias de seguridad para privar a la organización de la posibilidad de recuperarse.
Antes de cifrar, los atacantes desactivaron la protección de una forma poco habitual. Crearon un falso «antivirus Avast» en el sistema, lo que provocaba que el protector integrado de Windows dejara de funcionar. Tras finalizar el ataque, borraron cuidadosamente las huellas, incluidos los registros de eventos. Ese nivel de «limpieza» indica que los desarrolladores reforzaron seriamente las herramientas.
Prestaron especial atención a la preparación del sistema: desactivaron el modo de suspensión, detuvieron máquinas virtuales, desmontaron discos virtuales y eliminaron copias de seguridad. Incluso pausaron temporalmente el cifrado BitLocker para acceder a los datos sin comprobaciones adicionales.
El propio cifrado fue rápido. Todo el proceso llevó alrededor de tres horas, y la fase activa duró aproximadamente una hora. Los archivos se cifraron con algoritmos modernos y se añadió la extensión .6zldh_p2k. Para comunicarse con las víctimas emplearon la red I2P en lugar de la más habitual Tor, lo que complica el rastreo. Al finalizar el ataque en los equipos aparecía una nota exigiendo el rescate. A las víctimas se les ofrecía descifrar varios archivos gratis como «garantía».
La actividad actual muestra que Pay2Key no solo ha regresado, sino que se ha vuelto más peligrosa. Además, el comportamiento del grupo cada vez se aleja más de la mera obtención de beneficios por rescates. La elección de objetivos y los momentos de los ataques están directamente ligados a la situación política, por lo que no se trata solo de dinero, sino también de presionar la infraestructura del adversario.