Check Point Research, la división de inteligencia de amenazas de Check Point Software Technologies, publicó un análisis técnico detallado sobre VECT, un nuevo grupo de ransomware surgido a fines de 2025 que presenta una característica tan peligrosa como engañosa: sus víctimas no podrán recuperar sus archivos aunque paguen el rescate.
El hallazgo es especialmente relevante para Chile. Según datos de Check Point Research, el país registró 1.706 ataques semanales por empresa en marzo de 2026, en un contexto en que Latinoamérica se consolida como la región más atacada del mundo, con un promedio de 3.054 incidentes semanales por organización.
Un fallo que lo convierte en borrador de datos
El modelo de negocio del ransomware tradicional se basa en la reversibilidad: el atacante cifra los archivos, retiene la clave y la devuelve a cambio de un pago. VECT rompe este esquema por error, no por diseño. Al cifrar archivos de gran tamaño, la categoría que incluye imágenes de máquinas virtuales, bases de datos, copias de respaldo y archivos comprimidos, el software descarta de manera permanente la información necesaria para revertir el proceso. No existe ninguna clave que entregar, ni posibilidad técnica de recuperación.
Check Point Research confirmó que este fallo está presente en todas las variantes conocidas de VECT: Windows, Linux y VMware ESXi, y en todas las versiones del malware, incluyendo muestras anteriores al lanzamiento público de la versión 2.0. Nunca ha sido corregido.
La conclusión es directa: para la gran mayoría de los archivos críticos de una organización, VECT no es un ransomware. Es un destructor de datos con una nota de rescate adjunta.
Una red de distribución de escala sin precedentes
Lo que hace a VECT especialmente relevante no es solo el fallo técnico, sino su capacidad de distribución. El grupo formalizó una alianza con BreachForums, uno de los principales mercados del cibercrimen, y distribuyó automáticamente acceso a su plataforma a todos los miembros registrados del foro. En paralelo, anunció una asociación con TeamPCP, el grupo responsable de ataques a la cadena de suministro en 2025 que comprometieron herramientas de desarrollo de uso global, incluyendo Trivy, KICS, LiteLLM y Telnyx. El objetivo declarado era usar ese acceso previo como punto de entrada para nuevos ataques contra empresas ya afectadas.
El resultado es una de las redes de afiliados de ransomware más grandes jamás ensambladas, lo que amplifica significativamente el alcance potencial de VECT, a pesar de sus limitaciones técnicas actuales.
Apariencia profesional, fallas estructurales
El análisis del código revela una brecha importante entre la imagen que VECT proyecta y el software que realmente entrega. Funciones publicitadas activamente, como modos de velocidad de cifrado y herramientas de evasión de seguridad, están implementadas pero nunca se activan. Cualquier investigador puede ejecutar VECT hoy sin que el malware despliegue respuesta evasiva alguna. Adicionalmente, hay indicios de que el código base podría derivar de un ransomware filtrado anterior a 2022, e incluso de que partes del código fueron generadas con asistencia de inteligencia artificial, lo que explicaría cómo un grupo sin experiencia pudo producir algo que luce creíble en la superficie.
Recomendaciones para organizaciones en Chile
· No pagar el rescate. Para los archivos de mayor valor operacional, no existe decriptor funcional ni lo habrá. El pago solo financia a los atacantes sin garantizar recuperación alguna.
· Priorizar la rotación de credenciales en organizaciones con exposición a los ataques de cadena de suministro de TeamPCP.
· Activar protección multicapa. Check Point Threat Emulation y Harmony Endpoint entregan protección completa contra todas las variantes conocidas de VECT en entornos Windows, Linux y ESXi.
· Reforzar los respaldos offline como primera línea de recuperación ante cualquier incidente de esta naturaleza.
«El caso VECT ilustra una tendencia que vemos con creciente frecuencia: grupos que priorizan la apariencia de una operación profesional por encima de construir una realmente funcional», señaló Cristian Vásquez, Major Account Manager de Check Point Chile. «El riesgo no desaparece por los fallos técnicos. Los datos igualmente pueden ser exfiltrados, los sistemas igualmente colapsan, y una versión corregida distribuida a través de la misma red ya existente representaría una amenaza significativamente mayor. Este es un grupo que vale la pena monitorear.»
El informe técnico completo de Check Point Research, con análisis de código, detalle del fallo de cifrado y desglose por plataforma, está disponible en el blog de Check Point Research.
0
0
44
