Pocas veces los grandes depredadores del mundo digital se convierten en presas. Pero eso es justo lo que le ha sucedido a LockBit, un grupo de ‘ransomware’ que ha sembrado el caos desde 2019. Una filtración masiva ha dejado al descubierto el lado oculto de sus operaciones. ¿Quién está detrás de este golpe y qué secretos han salido a la luz? Lo que se ha revelado podría cambiar las reglas del juego.

LockBit bajo ataque: así cayó el grupo que sembró el caos

El grupo LockBit, conocido por sus sofisticados ataques de ransomware, ha sido víctima de una filtración sin precedentes. Este colectivo, que opera bajo un modelo de «ransomware-as-a-service» (RaaS), permitía a afiliados lanzar ataques en todo el mundo utilizando su software, bloqueando datos y exigiendo rescates en criptomonedas para su liberación.

Desde su aparición en 2019, se le atribuyen cerca de 1.800 ataques exitosos, lo que lo convierte en uno de los grupos más prolíficos de su tipo. Pero en esta ocasión, han sido ellos quienes han perdido el control. Su plataforma en la dark web fue desfigurada con un mensaje burlesco: «No delinquir. El crimen es malo. Besos y abrazos desde Praga», sustituyendo los paneles que usaban sus afiliados para coordinar ataques.

Esta inesperada incursión dejó expuesta una base de datos interna, repleta de información sensible. Entre los datos filtrados se encuentran cerca de 60.000 direcciones de bitcoin, configuraciones detalladas de ataques y registros de conversaciones de negociación con víctimas.

Qué revela la filtración: datos, tácticas y posibles víctimas

El medio especializado Bleeping Computer tuvo acceso a la base de datos filtrada y confirmó que esta incluye al menos 20 tablas SQL llenas de detalles que permiten comprender cómo opera LockBit desde dentro.

Una de las tablas más reveladoras, denominada builds_configurations, muestra las preferencias de los atacantes para cada compilación de malware: qué archivos cifrar, qué sistemas evitar, cómo enviar los rescates y hasta qué mensajes mostrar a las víctimas. También aparecen datos sobre compañías que estaban en la mira del grupo y versiones personalizadas del ransomware adaptadas por cada afiliado.

Los chats extraídos permiten reconstruir algunas negociaciones en las que LockBit presionaba a sus víctimas para que pagaran. Estos diálogos, que parecen haber sido volcados a finales de abril de 2025, podrían ser clave para que las autoridades rastreen a otros participantes del grupo.

Lo más llamativo, sin embargo, es que hasta ahora se desconoce quién está detrás del ataque a LockBit. No hay confirmación oficial de que se trate de una operación policial ni de que haya sido otro grupo rival. El misterio es parte del impacto.

No es la primera vez: LockBit ya estaba en la mira internacional

Este no es el primer golpe que recibe LockBit. En febrero de 2024, la operación policial Cronos logró desmantelar parte de su infraestructura. En esa ocasión, las fuerzas del orden tomaron control de 34 servidores utilizados para almacenar datos robados, difundir archivos filtrados y gestionar pagos de rescates.

Además, se llevaron a cabo detenciones en Polonia y Ucrania, se intervinieron cuentas de criptomonedas y se rastrearon conexiones globales del grupo. Aun así, LockBit consiguió reactivarse poco tiempo después, demostrando su capacidad de adaptación y su alcance.

Pero esta nueva brecha parece haber afectado incluso más profundamente a su estructura. Si bien no hay confirmación de que sea el fin del grupo, las consecuencias podrían ser duraderas: sus métodos han sido expuestos, su anonimato comprometido y su reputación, dañada.

¿Quién se atreve a atacar a los atacantes?

Lo que hace este caso tan intrigante es que nadie ha reclamado la autoría del ataque. No se sabe si fue una agencia de inteligencia, un grupo rival o incluso un antiguo colaborador de LockBit. El mensaje burlón que apareció en su sitio web deja más preguntas que respuestas.

Mientras tanto, la comunidad cibercriminal observa con atención. El mensaje es claro: nadie es intocable, ni siquiera los grupos más temidos de la red. Esta filtración podría marcar un antes y un después en el mundo del ransomware y la ciberseguridad. Y lo mejor —o lo peor— está por verse.