El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionales, infiltraciones, filtraciones deliberadas y colapsos operativos. Tras años dominados por modelos casi industriales —paneles de afiliados, sitios de filtraciones, chats públicos y marketing agresivo— están surgiendo grupos que rechazan la lógica al estilo LockBit y se decantan por un enfoque más opaco, minimalista, casi propio de un operador de inteligencia de señales (SIGINT). Discretos , técnicos y casi profesionales, adoptan estrategias de invisibilidad operativa . El caso más reciente es MONOLOCK , un nuevo grupo de ransomware

En los últimos días, la supuesta filtración de datos de Ernst & Young (EY) se ha convertido en uno de los temas más debatidos en el panorama internacional de la ciberseguridad. Decidí reconstruir la historia paso a paso, partiendo de la evidencia técnica compartida por Recorded Future y el análisis de Neo Security , para comprender no solo cómo se produjo la exposición, sino también qué puede enseñarnos sobre el control de activos digitales en entornos de nube complejos como el de EY. El archivo, en formato .BAK , era accesible sin autenticación y podría haber contenido información confidencial , como claves

Una nueva publicación en la dark web ofrece acceso completo a miles de servidores y bases de datos MySQL propiedad de proveedores de alojamiento compartido italianos. En las últimas horas, apareció un nuevo hilo en un foro underground con el título inequívoco: “Sitios de hosting italianos – 9 servidores más 40 – 526193 copias de seguridad de sitios – 4631 clientes de hosting – 6546 bases de datos MySQL”. Aviso legal: Este informe incluye capturas de pantalla y/o texto de fuentes públicas. La información proporcionada es únicamente para fines de inteligencia de amenazas y concientización sobre riesgos de ciberseguridad. Red Hot Cyber

El 20 de septiembre de 2025, a las 23:52, apareció en DarkForums un hilo titulado «NUEVA FUGA DE FTP» , publicado por el usuario Hackfut . El material supuestamente exponía el acceso a servidores FTP distribuidos en varios países, como Italia , Países Bajos, Filipinas, Perú, Chile, Australia y Letonia. Los objetivos incluían empresas, escuelas, establecimientos de hostelería, sedes de eventos, sitios de comercio electrónico y medios de comunicación . El contenido del volcado consiste en nombres de host/dominios FTP, nombres de usuario y contraseñas en texto plano . Lamentablemente, el problema crítico para nuestro país es la gran cantidad de dominios

Un déjà-vu con nuevas implicaciones. En mayo de 2025, el colectivo de ransomware LockBit sufrió un duro golpe: la desfiguración del panel de afiliados de la versión 4.0 por parte de un actor desconocido que se autodenominaba «XOXO desde Praga», acompañada de la filtración de una base de datos SQL que contenía chats, monederos y datos de afiliados. En aquel momento, LockBitSupp incluso ofreció una recompensa a quien proporcionara información sobre el autor. En las últimas 24 horas, la escena se ha repetido, pero con un giro significativo: esta vez, no se trata solo de una alteración pública, sino de una vulnerabilidad

Mientras Occidente combate los ataques de ransomware y las empresas privadas invierten en seguridad defensiva, al otro lado del frente digital, la guerra se desarrolla de forma asimétrica. El 28 de julio de 2025, la aerolínea nacional rusa, Aeroflot, fue víctima de un ciberataque masivo reivindicado por los grupos proucranianos Silent Crow y Cyberpartisans BY. Esto provocó cancelaciones de vuelos, un impacto financiero directo en el mercado de valores y, según fuentes clandestinas, la vulneración y destrucción de más de 7000 servidores internos. El ataque representa una de las operaciones ofensivas más devastadoras sufridas por la infraestructura crítica rusa desde el inicio