El 26 de mayo de 2026, el FBI publicó una alerta FLASH (FLASH-20260526-01, TLP:CLEAR) dedicada al Silent Ransom Group. En ella, la Oficina documenta una escalada sin precedentes hasta la fecha: el envío de una persona a las oficinas de una empresa para conectar un disco duro a un ordenador y sustraer datos. A fecha de 15 de junio de 2026, ransomware.live había registrado 115 organizaciones víctimas del grupo, 107 de ellas en Estados Unidos; en la gran mayoría de los casos, el grupo prefiere el robo de datos y la amenaza de publicación al cifrado de archivos. Activo desde al menos 2022, el grupo ha ido abandonando progresivamente todo tipo de malware. Su cadena de ataque se basa hoy en día esencialmente en la ingeniería social vocal, herramientas legítimas y la presión reputacional. El hecho de que llegue a enviar a gente a llamar a las puertas dice mucho sobre el estado de la extorsión en 2026 y sobre los límites de las defensas construidas exclusivamente en torno al perímetro digital.
¿Quién es Silent Ransom Group?
Conocido como Luna Moth, Chatty Spider y UNC3753, Silent Ransom Group roba datos y amenaza con publicarlos. Sin cifrado, no hay clave que vender. El FBI lo clasifica explícitamente como un actor que «lleva a cabo operaciones de robo de datos y extorsión sin recurrir al cifrado tradicional del ransomware ».
Desde al menos 2023, el grupo se centra principalmente en bufetes de abogados estadounidenses, organizaciones que poseen datos de terceros con un alto valor reputacional y cuyo interés en resolver discretamente un incidente de extorsión es estructuralmente elevado. La secuencia ya está documentada. Un empleado de un bufete de abogados recibe una llamada de su supuesto departamento de informática, inicia una sesión de pantalla compartida para resolver un problema de seguridad presentado como urgente y, unas horas más tarde, cientos de gigabytes de documentos confidenciales han salido de la red. La demanda de extorsión que sigue da tres días para responder, y pagar no garantiza nada: Unit 42 ha documentado casos en los que el grupo cesaba toda comunicación tras recibir el pago, sin proporcionar prueba alguna de la eliminación de los datos.
Para entender por qué SRG funciona sin una sola línea de código malicioso, hay que remontarse a sus orígenes.
Una filiación en el ecosistema Conti y las campañas BazarCall
Mandiant rastrea a UNC3753 como un clúster independiente que presenta solapamientos en tácticas, técnicas y procedimientos con UNC2686, el clúster asociado a las campañas BazarCall. Estas campañas proporcionaron a Conti y Ryuk accesos iniciales entre 2021 y 2022 siguiendo un esquema de phishing por devolución de llamada: un correo electrónico de alerta instaba al destinatario a llamar a un número controlado por el atacante, quien luego lo manipulaba para instalar el malware BazarLoader.
Tras la disolución del sindicato Conti en la primavera de 2022, este clúster se reposicionó como operador autónomo bajo la identidad de Silent Ransom Group. La continuidad es evidente en la cadena de ataque: mientras que BazarCall desplegaba BazarLoader, TRICKBOT, URSNIF y SILENTNIGHT, UNC3753 ha eliminado de su arsenal toda carga maliciosa, sustituyéndola por herramientas legítimas de supervisión y gestión remota (RMM). El grupo sí desplegó el ransomware LockBit.Black en algunas operaciones en 2022, antes de abandonarlo para centrarse únicamente en la extorsión mediante el robo de datos, un modelo que neutraliza el principal argumento de las víctimas para no pagar: la disponibilidad de sus copias de seguridad.
Una cadena de ataque sin malware, completada en menos de una hora
Entre enero y mayo de 2026, Mandiant publicó el primer análisis público completo del ciclo operativo de UNC3753, basado en varias misiones de respuesta a incidentes en bufetes de abogados y entidades financieras estadounidenses. Este informe constituye, a día de hoy, la referencia técnica más detallada sobre el grupo.
El ciclo operativo del grupo se distingue por su rapidez. Mandiant ha documentado incidentes en los que toda la secuencia, desde el primer contacto hasta la exfiltración, se desarrolló en un solo día laborable, y en los que la búsqueda, la puesta en escena y el robo de archivos se completaron en ocasiones en menos de una hora.
El giro táctico de marzo de 2025
Durante tres años, la secuencia comenzaba con correos electrónicos sobre suscripciones, falsas alertas de renovación de software, generalmente acompañados de un PDF que contenía un número de teléfono de un centro de atención telefónica controlado por el atacante. A partir de marzo de 2025, Mandiant documenta un cambio: el grupo abandona la suplantación de marcas de terceros y comienza a hacerse pasar directamente por el servicio de soporte informático interno de la organización objetivo. La diferencia operativa es sustancial: el empleado ya no recibe una llamada de un proveedor externo que puede verificar, sino de un supuesto miembro del departamento de informática o del equipo de seguridad de la organización, de quien no tiene motivos para dudar, sobre todo si un correo electrónico sospechoso le acaba de proporcionar un pretexto creíble para ponerse en contacto con el servicio de asistencia. En el mismo periodo, Halcyon señala que el grupo ha comenzado a desplegar chatbots con IA a través de la plataforma Reamaze en portales de asistencia técnica con nombres de dominio falsificados a nombre de las organizaciones atacadas, automatizando así el primer punto de contacto con las víctimas. Es este cambio el que el FBI registra a su vez en su alerta de mayo de 2026.
El acceso inicial mediante vishing
La secuencia comienza con un correo electrónico anodino con tema de factura, enviado desde una cuenta de uso general. No contiene ningún enlace activo ni archivo adjunto: su única función es establecer un pretexto creíble para la llamada que sigue. Haciéndose pasar por el servicio de soporte informático interno o por un miembro del equipo de seguridad, un atacante llama directamente al empleado objetivo, identificado a partir de los directorios públicos de la organización (sitio web, LinkedIn), en todos los niveles jerárquicos. A continuación, guía a la víctima hacia una sesión de pantalla compartida a través de Zoom, Microsoft Teams, Quick Assist o los servicios de Terminal de Microsoft, y luego aprovecha este control visual para instalar un agente RMM: AnyDesk, Bomgar, Zoho Assist o, en algunos casos, SuperOps. La instalación se activa mediante un comando cURL transmitido a través de Privnote, un servicio de mensajería autodestructible que no deja rastro alguno en los registros del navegador ni en los registros de correo electrónico de la empresa.
El giro hacia la infraestructura interna
Una vez establecido el acceso, los atacantes se dirigen hacia la infraestructura interna. Se les ha observado aprovechando sesiones de Zoom en dispositivos personales (BYOD) para acceder a la infraestructura VDI de la empresa a través de clientes nativos de Windows 365 o Citrix. Desde estos entornos virtuales, mapean las carpetas locales, las carpetas activas de OneDrive y los recursos compartidos de red asignados. En los bufetes de abogados, se centran específicamente en plataformas de gestión documental como iManage, donde realizan búsquedas por palabras clave para localizar expedientes fiscales (formularios W-2, W-9, 1099), auditorías, contratos de clientes y números de la Seguridad Social.
La exfiltración a través de canales de uso general
La exfiltración se adapta a los controles existentes. El grupo utiliza versiones portátiles de WinSCP o Rclone para transferencias FTP/SFTP masivas. Cuando los controles del punto final lo permiten, los atacantes se conectan directamente desde el navegador de la víctima a una cuenta de intercambio de archivos de uso general que controlan (Google Drive, entre otros) y arrastran y sueltan los archivos preparados, a los que a veces renombran para imitar la identidad visual de la organización objetivo. En un incidente documentado por Mandiant, el grupo exfiltró 1,7 GB desde la carpeta local de OneDrive a Google Drive, y luego pasó a la VDI para exfiltrar 14,4 GB adicionales a través de WinSCP. Desde entonces, Google ha desactivado las cuentas de Drive asociadas. En otros casos, los atacantes hicieron que las propias víctimas enviaran los archivos directamente desde iManage, tras instruirlas para que los remitieran por correo electrónico a direcciones controladas. Pero desde la primavera de 2026, la secuencia ya no se limita al ámbito digital.
Del vishing a la intrusión física: falsos técnicos enviados a las oficinas
Desde la primavera de 2026, el FBI ha documentado una escalada sin precedentes: cuando la ingeniería social a distancia falla, se envía a una persona físicamente a las instalaciones de la organización objetivo. Haciéndose pasar por un técnico informático, convence al personal de que debe copiar el disco o crear una copia de seguridad local para hacer frente a las consecuencias de un correo electrónico de phishing detectado. Una vez obtenido el acceso a un puesto de trabajo, conecta un dispositivo USB o un disco duro externo y extrae los datos directamente.
Desde la primavera de 2026, el FBI ha documentado esta escalada en su alerta FLASH del 26 de mayo de 2026: «Si este intento fracasa, SRG envía a un ciberdelincuente al domicilio de la víctima para acceder a su ordenador e insertar un dispositivo de almacenamiento. En el marco de esta estratagema, el ciberdelincuente explica a la víctima que debe crear una imagen del dispositivo o un archivo de copia de seguridad para paliar las posibles consecuencias del correo electrónico de phishing».
Mandiant estima que estas intrusiones físicas probablemente estén relacionadas con UNC3753, basándose en coincidencias de estructura, cronología y objetivos. Sin embargo, los investigadores señalan que «la falta de pruebas forenses y la ausencia de intentos posteriores de extorsión impiden cualquier atribución oficial ».
Para las organizaciones afectadas, la cuestión es ahora doble: cómo verificar la identidad de una persona al teléfono, pero también cómo verificar la de un visitante que se presenta en recepción alegando ser del servicio de soporte informático.
Por qué los bufetes de abogados estadounidenses son el objetivo ideal
El ataque a los bufetes de abogados estadounidenses es una constante del grupo desde al menos 2023. El FBI emitió un primer aviso en mayo de 2025, seguido de una alerta FLASH en mayo de 2026, exactamente un año después, lo que pone de manifiesto que se trata de una amenaza duradera.
El perfil de estos objetivos se ajusta al modelo de un operador que apuesta por la extorsión a través de la reputación en lugar de mediante el cifrado. Los bufetes concentran grandes volúmenes de datos extremadamente sensibles (expedientes de transacciones de clientes, planes de fusiones y adquisiciones, secretos comerciales, informes reglamentarios), están sujetos a estrictas obligaciones de confidencialidad y a una fuerte exposición regulatoria, y tienen un gran interés en resolver discretamente un incidente de extorsión para proteger su reputación profesional. Resecurity señala que, en el primer trimestre de 2026, los bufetes de abogados representaban casi una cuarta parte de todos los incidentes relacionados con ransomware seguidos, lo que los convertía en el cuarto sector más atacado. Más allá del ámbito jurídico, el grupo también se centró en despachos de contabilidad y en los sectores de los seguros, las finanzas, la sanidad y la hostelería.
En junio de 2026, el sitio web de filtraciones LEAKEDDATA del grupo (business-data-leaks[.]com) registraba cerca de 100 organizaciones víctimas según Resecurity, mientras que ransomware.live contabilizaba 115 a fecha de 15 de junio de 2026, de las cuales 107 en Estados Unidos: los servicios empresariales (63 víctimas) y los servicios financieros (42 víctimas) dominan los ataques. El propio grupo afirma que la gran mayoría de las empresas atacadas aceptan pagar, lo que sitúa el número de ataques reales muy por encima de las víctimas publicadas en el sitio web de filtraciones.
Un modelo de extorsión puro, diseñado para ejercer presión
La ausencia de cifrado es la piedra angular del modelo económico del grupo. A diferencia de la doble extorsión clásica, que combina el cifrado y la amenaza de filtración, el Silent Ransom Group opera únicamente sobre el aspecto reputacional: los datos se roban y luego se utilizan como palanca para la extorsión.
Las comunicaciones de extorsión suelen llegar en los 30 minutos siguientes a la salida de los atacantes del entorno objetivo. Dan tres días a la organización para iniciar las negociaciones. Si no hay respuesta, el grupo amenaza con ponerse en contacto directamente con los empleados, socios y clientes de la víctima para alertarles de la violación, lo que añade presión externa a la presión interna, y anuncia la publicación de los archivos sustraídos en LEAKEDDATA. El correo electrónico de extorsión típico, del que Mandiant ha publicado un ejemplo, insiste en los riesgos normativos, las multas, las reclamaciones de los clientes perjudicados y la destrucción de la reputación, antes de concluir con un plazo explícito: «Tendrán 3 días para empezar a comunicarse». » El cálculo es coherente: este modelo es más rápido de implementar que un despliegue de ransomware, no requiere el desarrollo de malware, deja pocos rastros forenses y elude directamente la principal defensa de las víctimas, la restauración a partir de una copia de seguridad.
Un sitio de filtración en la red abierta, oculto tras una red fast-flux
Mientras que la gran mayoría de los grupos de ransomware alojan su sitio de filtración en Tor, el Silent Ransom Group lo expone en la red abierta. Resecurity lo considera una elección deliberada: facilitar el acceso a las víctimas que no disponen de un navegador Tor, aumentar la visibilidad pública para amplificar la presión sobre la reputación y simplificar la infraestructura. Un sitio de filtración accesible desde cualquier navegador convencional convierte cada publicación en un evento consultable por todos.
Esta exposición se compensa con una infraestructura DNS fast-flux. Resecurity ha identificado que los dos dominios principales del grupo, ep6pheij[.]com y business-data-leaks[.]com, operan en una red fast-flux alimentada por una red de bots de 24 direcciones IP repartidas en 18 países y 22 proveedores de acceso distintos. En la práctica, los dos dominios nunca apuntan al mismo servidor durante más de unos minutos: cada consulta DNS devuelve simultáneamente entre 10 y 18 direcciones IP, que se renuevan por rotación cada 2 o 3 minutos. La totalidad de las IP corresponde a conexiones residenciales, probablemente routers, módems y pasarelas domésticas comprometidas (equipos IoT y CPE). Entre el 50 % y el 60 % de las conexiones se comparten entre los dos dominios, lo que confirma la existencia de un único operador. La mayor concentración geográfica se encuentra en América Latina (el 50 % de los nodos), con dispositivos domésticos infectados en Bolivia, México, Argentina, Ecuador, Colombia y el Caribe.
Ambos dominios están registrados en Web Commerce Communications Limited (WebNic[.]cc), un registrador acreditado por la ICANN del sudeste asiático, que también gestiona los servidores de nombres que coordinan la rotación de direcciones IP. El sitio de filtración utiliza un mecanismo de tokens similar a los identificadores de distribución de tráfico (TDS), que genera URL dinámicas para dirigir a cada visitante a una carpeta específica de datos robados. Este sistema cumple un doble objetivo: facilitar a las víctimas el acceso a sus propios datos sustraídos, al tiempo que impide el rastreo automático del índice del sitio, lo que complica el análisis por parte de terceros e investigadores. Resecurity identificó además, en mayo de 2026, un proyecto relacionado denominado Spy Corporate (spycorp[.]pro), que comparte la misma infraestructura de rotación de IP, el mismo mecanismo de token CSRF y el mismo registrador, con un bufete de abogados entre sus primeras víctimas publicadas.
Dos alertas del FBI en un año, cero detenciones
La respuesta institucional se limitó a avisos. El FBI publicó una notificación al sector privado en mayo de 2025, y luego una alerta FLASH en mayo de 2026 que amplía el alcance de la amenaza al incluir explícitamente los intentos de intrusión física, una escalada que la Oficina considera lo suficientemente preocupante como para convertirla en un indicador de ataque por derecho propio. Hasta la fecha, no se ha asociado públicamente ninguna detención, acusación ni sanción al grupo.
Mandiant señala que el uso casi exclusivo de herramientas legítimas (RMM comerciales, aplicaciones de uso general para compartir archivos, comunicaciones efímeras) deja muy pocos rastros aprovechables tras un incidente. El FBI lo confirma en su alerta FLASH: «Las recientes campañas llevadas a cabo por el SRG han dejado pocas huellas en los equipos comprometidos. Los antivirus convencionales también tienen pocas posibilidades de detectar la intrusión, ya que el SRG suele utilizar herramientas legítimas de gestión del sistema o de acceso remoto para llevar a cabo su ataque. » El FBI precisa, además, que el uso de estas herramientas no debe considerarse malicioso en sí mismo sin pruebas analíticas de que se utilicen bajo la dirección del grupo.
Medidas de defensa recomendadas contra el vishing y la intrusión física
Las recomendaciones de Mandiant y del FBI coinciden en algunas medidas concretas. La primera línea de defensa es la verificación de identidad a través de un canal independiente. Cualquier solicitud de acceso remoto iniciada mediante una llamada o un correo electrónico no solicitado debe confirmarse a través de un canal independiente (llamada de respuesta a un número oficial registrado, confirmación con el superior directo) antes de iniciar una sesión de pantalla compartida, incluso si el interlocutor parece conocer detalles internos de la organización. Esta vigilancia también se aplica a los visitantes: el FBI recomienda copiar sistemáticamente el documento de identidad oficial de cualquier proveedor técnico externo que se presente en las instalaciones.
A continuación, los entornos deben auditar y bloquear la instalación de cualquier herramienta RMM no aprobada, mediante políticas de control de aplicaciones (Windows Defender Application Control o equivalentes) que impidan la ejecución de binarios no incluidos en la lista, y restringir las funciones de control de pantalla interactivo en Zoom y Teams para el personal no técnico. Las políticas de acceso condicional deben garantizar que solo los dispositivos gestionados por la organización se autentiquen en la infraestructura VDI o VPN, con una autenticación multifactorial (MFA) reforzada (step-up) cuando un dispositivo personal acceda a ella. Para evitar la exfiltración física, las capacidades de lectura/escritura en dispositivos USB y discos extraíbles deben desactivarse mediante GPO o MDM, tanto en los puestos corporativos como en los BYOD utilizados como puntos de entrada a la VDI.
Queda la detección de la exfiltración en curso. El registro completo de las transferencias a nivel del cortafuegos, las alertas sobre conexiones salientes hacia API de intercambio de archivos no autorizadas y la supervisión del tráfico SSH (puerto 22) para transferencias WinSCP y Rclone de gran volumen permiten detectar la salida de datos. En entornos iManage, SharePoint o similares, las alertas en tiempo real sobre búsquedas masivas, picos de términos de búsqueda y descargas masivas constituyen una señal de alerta temprana.
Lo que este modelo nos dice sobre la extorsión en 2026
El Silent Ransom Group ha dejado obsoleta una parte de la inversión defensiva orientada a los endpoints: ningún EDR señala a WinSCP o Zoom como una amenaza, ningún antivirus bloquea una llamada telefónica. El mismo giro hacia la ingeniería social vocal se observa en otros actores anglófonos, como en la campaña de vishing llevada a cabo por ShinyHunters contra las cuentas SSO de empresas globales: el ser humano vuelve a ser el perímetro.
La intrusión física cruza un umbral adicional. Esto significa que la seguridad del perímetro digital ya no es suficiente si el acceso a las instalaciones no está sujeto a procedimientos de autenticación equivalentes: para un bufete de abogados o un proveedor financiero, un visitante no anunciado que se hace pasar por el servicio de soporte informático se convierte en un vector de ataque en toda regla. Y el auge del grupo coincide con una disminución de la tasa de pago de rescates en 2025: cuando las víctimas se resisten mejor al cifrado, la apuesta por la reputación, la confidencialidad y la presión regulatoria se convierte en una alternativa rentable, sin carga técnica que desarrollar.
Mientras el valor reputacional de los datos de terceros en poder de bufetes de abogados, auditores, aseguradoras y proveedores de servicios sanitarios supere el coste de un rescate, la lógica económica del Silent Ransom Group seguirá intacta. Su arma más eficaz no es un cifrador, sino una llamada telefónica, y eso es precisamente lo que hace que sea difícil de detener con herramientas.
Mientras el valor reputacional de los datos de terceros que obran en poder de bufetes de abogados, auditores, aseguradoras y proveedores de servicios sanitarios supere el coste de un rescate, la lógica económica del Silent Ransom Group seguirá intacta. Su arma más eficaz no es un cifrador, sino una llamada telefónica, y eso es precisamente lo que hace que sea difícil de detener con herramientas.
Fuentes
Blog de Google Cloud / Mandiant: Campaña dirigida en curso contra bufetes de abogados estadounidenses
Resecurity: Silent Ransom Group (SRG): Uncovering DNS Fast Flux Infrastructure
BleepingComputer: Silent Ransom Group ataca a bufetes de abogados con llamadas falsas de soporte informático
BleepingComputer: El FBI advierte de ataques de robo de datos en persona por parte de una banda de extorsión
Infosecurity Magazine: Silent Ransom Group utiliza la suplantación de identidad de personal de TI en persona para violar sistemas
Ransomware.live: SilentRansomGroup
SecurityWeek: El grupo Silent Ransom utiliza DNS Fast Flux en sus ataques
