El FBI avisa: el ransomware Medusa está poniendo en jaque la ciberseguridad mundial y así actúa

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Como ya contamos, es uno de los 10 grupos de ransomware más activos del mundo. El ransomware Medusa se ha consolidado como una de las amenazas más sofisticadas y su `poder´es tal que incluso el FBI acaba de lanzar una alerta global.

Identificado por primera vez en junio de 2021, este grupo de ciberdelincuentes ha ido perfeccionando sus técnicas y ha perpetrado ya cientos de ciberataques. La advertencia del FBI, visible en la campaña #StopRansomware, pone de relieve la urgencia de reforzar la defensa de las infraestructuras críticas frente a sus potentes amenazas.

Y es que Medusa no es un actor cualquiera. Su capacidad de adaptación, su modelo de negocio basado en el ransomware como servicio (RaaS) y su enfoque de doble extorsión lo convierten en una pieza central dentro del nuevo panorama de amenazas digitales.

Ha dejado víctimas en todo el mundo, incluyendo empresas del sector salud, educación, manufactura y tecnología, elevando la preocupación en múltiples niveles de gobierno y sectores privados.

¿Qué es el ransomware Medusa y por qué preocupa mucho al FBI?

Según el FBI, Medusa es una variante de ransomware que opera bajo el modelo RaaS. Esto significa que sus desarrolladores no ejecutan todos los ataques directamente, sino que alquilan su software a afiliados que lo implementan contra diversas víctimas. Este sistema lo vuelve más difícil de rastrear y detener.

Uno de los elementos más distintivos de Medusa es su uso de la doble extorsión. No solo cifra los archivos en los sistemas infectados, sino que también amenaza con filtrar públicamente la información robada si no se paga el rescate. Este enfoque ha demostrado ser extremadamente efectivo, ya que las víctimas enfrentan no solo la pérdida operativa, sino también el daño reputacional.

Cabe destacar que Medusa no debe confundirse con Medusa Locker, otra cepa de ransomware con características distintas que apareció en 2019.

Actividad reciente y alcance internacional

La notoriedad de Medusa creció exponencialmente desde el lanzamiento de su sitio en la red Onion, conocido como “Medusa Blog”, donde expone a sus víctimas con cuenta regresiva incluida. Durante marzo de 2025, alcanzó el puesto 8 en el ranking global de grupos de ransomware más activos, con al menos 67 ataques confirmados.

De acuerdo con el FBI y CISA, más de 300 organizaciones en sectores como el médico, educativo, tecnológico, manufacturero y legal han sido blanco del grupo. Esta escala de afectación pone de relieve una infraestructura organizada y un nivel de profesionalización elevado.

Cómo actúa Medusa

El grupo Medusa suele aprovechar campañas de phishing para obtener credenciales y explotar vulnerabilidades en software desactualizado. En Chile, por ejemplo, se reportó un ataque en marzo de 2025 donde el grupo accedió a través de una conexión RDP mal asegurada.

Una vez dentro, los atacantes implementan su ransomware, expandiéndose lateralmente en la red interna y cifrando datos sensibles. Para ello, emplean técnicas como pass the hash y eliminan rastros de sus movimientos mediante la manipulación del historial de PowerShell.

Medusa utiliza herramientas como ABYSSWORKER, un controlador malicioso diseñado para desactivar antivirus y evadir soluciones EDR (Endpoint Detection and Response). Además, emplea mecanismos para eliminar copias de seguridad y modificar el registro del sistema, dificultando significativamente la recuperación tras el ataque.

En palabras de ColCERT, Medusa “cifra archivos críticos, elimina copias de seguridad y garantiza su persistencia”, lo que la convierte en una amenaza con alto grado de sofisticación.

Notas de rescate y amenazas en la dark web

Cada ataque de Medusa deja una nota de rescate en un archivo llamado !!!READ_ME_MEDUSA!!!.txt. Los archivos cifrados adquieren la extensión .MEDUSA, y la víctima recibe instrucciones precisas para realizar el pago en criptomonedas.

El sitio web del grupo incluye información detallada de las víctimas, archivos como prueba del ataque y temporizadores que indican el plazo para evitar la filtración pública. Este enfoque busca maximizar la presión psicológica sobre las empresas y organizaciones afectadas.

Especial incidencia de Medusa según el FBI

Aunque Medusa tiene un alcance global, América Latina ha sufrido varios incidentes notables. En 2023, la Comisión Nacional de Valores de Argentinafue víctima de un ataque que cifró archivos y robó 1.5 terabytes de información. El grupo exigió medio millón de dólares en Bitcoin.

En 2024, la multinacional mexicana Grupo Bimbo apareció en su lista de víctimas, y poco después, una empresa de telecomunicaciones venezolana recibió una demanda de 5 millones de dólares a cambio de no publicar documentos internos y datos confidenciales.

También se han registrado ataques en Brasil, Bolivia, Chile, Colombia y República Dominicana, lo que demuestra el interés de Medusa en objetivos estratégicos de la región.

Vínculos con otros grupos y herramientas compartidas de Medusa

Un análisis realizado por ESET Research identificó conexiones entre Medusa y otros grupos como RansomHub, Play y BianLian. Una de las claves de esta relación es el uso de EDRKillShifter, una herramienta desarrollada por RansomHub para neutralizar soluciones EDR.

A diferencia del cifrador principal de cada grupo, esta herramienta no necesita personalización frecuente, lo que permitió a los investigadores establecer patrones y detectar a un mismo afiliado operando para varios grupos al mismo tiempo.

Este tipo de colaboración demuestra un ecosistema criminal en expansión, donde los actores comparten recursos y técnicas para maximizar su impacto.

Info – Bitlifemedia

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *