A finales de enero de 2026 apareció en la escena del cibercrimen una nueva marca de ransomware, 0APT, que proclamó haber comprometido “cientos” de grandes organizaciones en todo el mundo. Un análisis técnico independiente, sin embargo, revela que buena parte de estas afirmaciones son puro bluf y campaña de desinformación orientada a obtener pagos por miedo, no por ataques reales.
0APT y el “éxito instantáneo”: por qué los expertos sospechan
En su primera semana de actividad, 0APT aseguró haber atacado con éxito a más de 200 organizaciones. Este volumen inicial es atípico: los grupos de ransomware consolidados suelen comenzar con un número limitado de intrusiones, afinan su cadena de ataque y solo después escalan. Un “crecimiento explosivo” desde el día uno es un indicador de alerta para cualquier equipo de respuesta a incidentes.
El equipo GuidePoint Research and Intelligence Team (GRIT) revisó los supuestos incidentes y comprobó que la mayoría de empresas listadas no registraban señales de compromiso: ni actividad sospechosa en la red, ni cifrado de sistemas, ni evidencias de exfiltración de datos. Según GRIT, los listados de 0APT muestran un patrón sistemático de exageración y fabricación de víctimas.
Del listado masivo a un puñado de nombres: el sitio de fugas de 0APT
El 28 de enero de 2026, 0APT lanzó su propio “leak site”, un portal de filtraciones donde supuestamente publicaría datos robados para presionar a las organizaciones. El sitio debutó con más de 200 víctimas. Sin embargo, tras las primeras críticas públicas sobre la falta de pruebas, la web desapareció temporalmente el 8 de febrero.
Al volver en línea un día después, el número de empresas se había reducido a unas 15 organizaciones. Aun así, los analistas de GRIT señalaron que, incluso para parte de estos casos, no se aportaban muestras de datos, indicadores de compromiso ni otros artefactos técnicos verificables. La conclusión: se trataba de listados en gran medida inventados, mezclando nombres ficticios con marcas conocidas para amplificar el impacto mediático.
Teatro técnico: simulación de una “mega filtración” con /dev/random
Para reforzar la ilusión de una fuga masiva, 0APT recurrió a un truco sencillo pero efectivo. Sus servidores enviaban al navegador de la víctima un flujo continuo de datos procedentes de /dev/random, un generador de números aleatorios en sistemas tipo Unix. Visualmente, el usuario veía una descarga que simulaba un archivo cifrado de unos 20 GB.
Desde la perspectiva de un observador no técnico, esto parece una prueba de que existe un enorme archivo de información robada. En realidad, solo se estaba transmitiendo basura criptográfica sin ningún valor. Este “teatro criptográfico” demuestra cómo algunos actores de ransomware apuestan por la ingeniería social y el espectáculo técnico tanto como por la intrusión real.
Ciberextorsión con datos viejos: reventa y reempaquetado de filtraciones
Aunque hasta ahora no se han confirmado grandes compromisos atribuibles a 0APT, todo apunta a que el grupo intenta monetizar la ciberextorsión basada en fugas antiguas. Es decir, reutiliza datos previamente robados por otros actores, ya presentes en foros clandestinos, para reclamar un “nuevo” incidente y exigir un rescate por supuesta filtración reciente.
Esta táctica de re-extorsión ya fue observada con grupos como RansomedVC en 2023, que combinaban bases de datos antiguas con información pública para presentar un relato convincente de brecha actual. Organizaciones sin un inventario histórico de incidentes y sin seguimiento de qué datos suyos han sido filtrados con anterioridad tienen mayores dificultades para distinguir entre una intrusión nueva y un chantaje reciclado.
Mogilevich como modelo: del ransomware a la estafa pura
El comportamiento de 0APT guarda similitudes claras con la operación de Mogilevich, un grupo que en 2024 se hizo notar anunciando el supuesto hackeo de Epic Games. Poco después, sus propios operadores admitieron que no eran una banda de ransomware tradicional, sino “estafadores profesionales” que explotaban el miedo a las fugas de datos.
Mogilevich también afirmó haber comprometido a DJI y, usando esa narrativa, consiguió obtener alrededor de 85 000 dólares en criptomonedas de un tercero interesado en comprar los datos. 0APT parece replicar esta fórmula: listas dudosas de víctimas, ausencia de evidencias técnicas y énfasis en la presión psicológica.
Además, 0APT no solo intenta engañar a empresas, sino también a otros ciberdelincuentes. En versiones tempranas de su sitio, ofrecía un modelo de ransomware-as-a-service exigiendo un depósito de 1 bitcoin a quienes quisieran “afiliarse”. Este tipo de requisitos es típico de plataformas fraudulentas diseñadas para vaciar los monederos de aspirantes a criminales novatos.
Qué deben hacer las empresas ante amenazas de ransomware sin pruebas
Verificar la filtración antes de negociar
El caso 0APT muestra que la ciberextorsión moderna ya no se basa solo en el malware, sino en narrativas creíbles de filtración. Antes de responder a cualquier demanda de rescate, las organizaciones deberían implementar un proceso formal de verificación del chantaje, que incluya:
• Analizar las muestras de datos que aporta el atacante y compararlas con filtraciones históricas conocidas (p. ej., utilizando fuentes abiertas y servicios de inteligencia de amenazas).
• Revisar registros de seguridad, telemetría de endpoints y alertas de EDR/XDR en busca de evidencia de intrusión.
• Consultar a equipos especializados de respuesta a incidentes o threat intelligence para validar la credibilidad técnica del actor y del ataque.
• Mantener un inventario actualizado de incidentes pasados y de información que ya se sabe que ha sido expuesta.
Refuerzo de la higiene de seguridad y preparación
Informes como el Verizon Data Breach Investigations Report y el ENISA Threat Landscape llevan años señalando el crecimiento de la extorsión asociada a ransomware. Frente a actores que mezclan realidad y ficción, las medidas fundamentales siguen siendo críticas: parcheo regular, copias de seguridad probadas, segmentación de red, autenticación multifactor y formación continua en phishing y fraude.
Igualmente importante es contar con planes de respuesta a incidentes previamente ensayados, que contemplen no solo la restauración técnica, sino también la gestión de comunicaciones, la evaluación legal y la toma de decisiones frente a demandas de rescate, especialmente cuando no hay evidencias sólidas de una brecha.
El fenómeno 0APT recuerda que el riesgo actual no reside solo en la pérdida de datos, sino en la manipulación del miedo a esa pérdida. Las organizaciones que gestionan de forma sistemática su seguridad de la información, mantienen trazabilidad de sus filtraciones históricas y exigen pruebas técnicas antes de reaccionar a cualquier ultimátum reducen significativamente la probabilidad de convertirse en víctimas, tanto de ataques reales como de un bluf bien orquestado.
