El grupo de ransomware Akira ha comprometido a cientos de víctimas durante el año pasado con un ciclo de vida de ataque bien perfeccionado que ha reducido el tiempo desde el acceso inicial hasta el cifrado de datos en menos de cuatro horas. de acuerdo a empresa de ciberseguridad Halcyon.

Akira ha estado activo desde 2023, acumulando al menos 245 millones de dólares en pagos de rescate de las víctimas hasta septiembre de 2025. El grupo cibercriminal probablemente incluya a ex miembros y afiliados del ahora desaparecido grupo de ransomware Conti, y es conocido por su pulido enfoque de la extorsión digital.

Un ejemplo principal se puede encontrar en la eficiencia del ciclo de infección de Akira, que ha reducido los tiempos de respuesta a incidentes a horas. Según Halcyon, Akira es conocido por utilizar vulnerabilidades de día cero, comprar exploits de intermediarios de acceso inicial y explotar VPN que carecen de autenticación multifactor para infectar a sus víctimas. Akira también utiliza un proceso conocido como «cifrado intermitente», mediante el cual los archivos grandes se pueden cifrar más rápido en bloques más pequeños.

«Akira es más sigiloso y menos agresivo, lo que permite que el ransomware se mueva rápidamente a través de toda la cadena de ataque del ransomware, desde el acceso inicial hasta la exfiltración y el cifrado en tan solo 1 hora sin detección», escribió Halcyon en un blog publicado el jueves. «En la mayoría de los casos, el tiempo desde el acceso inicial hasta el cifrado fue de menos de cuatro horas».

Además, si bien la mayoría de los operadores de ransomware tienden a dedicar “alrededor del 90-95 %” de su tiempo a desarrollar su malware de cifrado y del 5 al 10 % a crear descifradores, Halcyon dijo que Akira ha hecho “grandes esfuerzos para garantizar la recuperación de archivos grandes, como imágenes del servidor”, llegando incluso a guardar automáticamente archivos temporalmente con extensiones .akira personalizadas para garantizar que se puedan recuperar si se interrumpe el proceso de cifrado.

El blog de Halcyon señala que estos esfuerzos probablemente se deban menos a principios éticos que a que el grupo cree que ofrecer descifradores funcionales aumenta las posibilidades de que una empresa pague el rescate. La combinación de Akira de infección rápida y al mismo tiempo ofrece a las empresas una forma más confiable de recuperar sus datos es algo que «lo distingue de muchos operadores de ransomware».

«La capacidad del grupo para pasar del acceso inicial al cifrado completo en menos de una hora, manteniendo al mismo tiempo las garantías de recuperación que incentivan el pago de las víctimas, refleja una empresa criminal madura e impulsada por los negocios», dijo Halcyon.

Se ha observado que el grupo explota vulnerabilidades en los servidores de replicación y respaldo de Veeam, las VPN de Cisco y los dispositivos SonicWall. Al igual que otros grupos de ransomware, Akira utiliza un modelo de doble extorsión contra las víctimas, robando sus datos antes de cifrarlos y luego amenazando con publicar los datos robados en línea si las empresas no pagan.

El año pasado, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad señalaron a Akira como uno de los principales grupos criminales de ransomware del mundo, dirigido principalmente a pequeñas y medianas empresas de los sectores de fabricación, educación, TI, atención médica, financiera y agrícola.

Meta ha anunciado planes para dejar de admitir el cifrado de extremo a extremo (E2EE) para chats en Instagram después del 8 de mayo de 2026.

«Si tiene chats que se ven afectados por este cambio, verá instrucciones sobre cómo descargar cualquier medio o mensaje que desee conservar», dijo el gigante de las redes sociales. dicho en un documento de ayuda. «Si tienes una versión anterior de Instagram, es posible que también necesites actualizar la aplicación antes de poder descargar los chats afectados».

La compañía estadounidense comenzó a probar E2EE para mensajes directos de Instagram en 2021 como parte de la «visión centrada en la privacidad para las redes sociales» del director ejecutivo Mark Zuckerberg. La característica es actualmente «solo disponible en algunas áreas» y no está habilitado de forma predeterminada.

Semanas después de la guerra ruso-ucraniana en febrero de 2022, la empresa hizo mensajería directa cifrada disponible a todos los usuarios adultos en ambos países.

El desarrollo se produce días después de que TikTok dijera que no planea introducir E2EE para proteger los mensajes directos en la plataforma, y ​​le dijo a BBC News que la tecnología hace que los usuarios sean menos seguros y que quiere proteger a los usuarios, especialmente a los jóvenes, de cualquier daño.

A finales del mes pasado, Reuters también reportado que Meta procedió con sus planes de adoptar servicios de mensajería cifrada en Facebook e Instagram a pesar de las advertencias internas en 2019 de que hacerlo obstaculizaría la capacidad de la compañía para detectar actividades ilegales, como material de abuso sexual infantil (CSAM) o propaganda terrorista, y señalarlas ante las autoridades.

E2EE ha sido aclamado como una victoria para la privacidad, ya que garantiza que solo los usuarios que se comunican puedan descifrar y leer mensajes, impidiendo así que los proveedores de servicios, los malos actores y otros terceros accedan o intercepten los datos.

Sin embargo, las fuerzas del orden y los defensores de la seguridad infantil han argumentado que la tecnología crea un espacio seguro para los delincuentes, ya que impide que las empresas cumplan con las órdenes judiciales para entregar el contenido de los mensajes, un problema conocido como el fenómeno «Going Dark».

Este año, la Comisión Europea está esperado presentar una hoja de ruta tecnológica sobre cifrado para identificar y evaluar soluciones que permitan el acceso legal a datos cifrados por parte de las fuerzas del orden, salvaguardando al mismo tiempo la ciberseguridad y los derechos fundamentales.

El actor de amenazas norcoreano conocido como UNC4899 Se sospecha que está detrás de una sofisticada campaña de compromiso en la nube dirigida a una organización de criptomonedas en 2025 para robar millones de dólares en criptomonedas.

La actividad se ha atribuido con moderada confianza al adversario patrocinado por el estado, al que también se le rastrea bajo los criptoónimos Jade Sleet, PUKCHONG, Slow Pisces y TraderTraitor.

«Este incidente se destaca por su combinación de ingeniería social, explotación de mecanismos de transferencia de datos entre pares (P2P) de dispositivos personales a corporativos, flujos de trabajo y eventual giro a la nube para emplear técnicas de vivir fuera de la nube (LOTC)», señaló el gigante tecnológico en su informe. Informe sobre horizontes de amenazas en la nube del primer semestre de 2026 [PDF] compartido con The Hacker News.

Al obtener acceso al entorno de la nube, se dice que los atacantes abusaron de los flujos de trabajo legítimos de DevOps para recopilar credenciales, romper los límites de los contenedores y alterar las bases de datos de Cloud SQL para facilitar el robo de criptomonedas.

La cadena de ataque, dijo Google Cloud, representa una progresión de lo que comenzó con el compromiso del dispositivo personal de un desarrollador en su estación de trabajo corporativa, antes de saltar a la nube para realizar modificaciones no autorizadas a la lógica financiera.

Todo comenzó cuando los actores de amenazas utilizaron estrategias de ingeniería social para engañar al desarrollador para que descargara un archivo como parte de una supuesta colaboración en un proyecto de código abierto. Luego, el desarrollador transfirió el mismo archivo al dispositivo de su empresa a través de AirDrop.

«Utilizando su entorno de desarrollo integrado (IDE) asistido por IA, la víctima interactuó con el contenido del archivo y finalmente ejecutó el código Python malicioso incrustado, que generó y ejecutó un binario que se hacía pasar por la herramienta de línea de comandos de Kubernetes», dijo Google.

Luego, el binario se puso en contacto con un dominio controlado por el atacante y actuó como una puerta trasera para la máquina corporativa de la víctima, brindando a los atacantes una forma de pasar al entorno de Google Cloud probablemente usando sesiones autenticadas y credenciales disponibles. A este paso le siguió una fase inicial de reconocimiento destinada a recopilar información sobre diversos servicios y proyectos.

El ataque pasó a la siguiente fase con el descubrimiento de un anfitrión bastióncon el adversario modificando su atributo de política de autenticación multifactor (MFA) para acceder a él y realizar reconocimiento adicional, incluida la navegación a pods específicos dentro del entorno de Kubernetes.

Posteriormente, UNC4899 adoptó un enfoque de vivir fuera de la nube (LotC) para configurar mecanismos de persistencia alterando las configuraciones de implementación de Kubernetes para ejecutar un comando bash automáticamente cuando se crean nuevos pods. El comando, por su parte, descargaba una puerta trasera.

Algunos de los otros pasos llevados a cabo por el actor de amenazas se enumeran a continuación:

• Los recursos de Kubernetes vinculados a la solución de plataforma CI/CD de la víctima se modificaron para inyectar comandos que mostraban los tokens de la cuenta de servicio en los registros.
• El atacante obtuvo un token para una cuenta de servicio CI/CD con altos privilegios, lo que le permitió escalar sus privilegios y realizar movimientos laterales, apuntando específicamente a un módulo que manejaba políticas de red y equilibrio de carga.
• El token de la cuenta de servicio robado se utilizó para autenticarse en el pod de infraestructura confidencial que se ejecuta en modo privilegiado, escapar del contenedor e implementar una puerta trasera para acceso persistente.
• El actor de amenazas llevó a cabo otra ronda de reconocimiento antes de centrar su atención en una carga de trabajo responsable de administrar la información del cliente, como las identidades de los usuarios, la seguridad de la cuenta y la información de la billetera de criptomonedas.
• El atacante lo usó para extraer credenciales de bases de datos estáticas que estaban almacenadas de forma insegura en las variables de entorno del pod.
• Luego se abusó de las credenciales para acceder a la base de datos de producción a través de Cloud SQL Auth Proxy y ejecutar comandos SQL para realizar modificaciones en la cuenta de usuario. Esto incluyó restablecimientos de contraseñas y actualizaciones de semillas de MFA para varias cuentas de alto valor.
• El ataque culminó con el uso de cuentas comprometidas para retirar con éxito varios millones de dólares en activos digitales.

El incidente «destaca los riesgos críticos planteados por los métodos de transferencia de datos P2P de persona a empresa y otros puentes de datos, modos de contenedores privilegiados y el manejo no seguro de secretos en un entorno de nube», dijo Google. «Las organizaciones deben adoptar una estrategia de defensa en profundidad que valide rigurosamente la identidad, restrinja la transferencia de datos en los puntos finales y aplique un aislamiento estricto dentro de los entornos de ejecución de la nube para limitar el radio de explosión de un evento de intrusión».

Para contrarrestar la amenaza, se recomienda a las organizaciones implementar acceso contextual y MFA resistente al phishing, asegurarse de que solo se implementen imágenes confiables, aislar los nodos comprometidos para que no establezcan conectividad con hosts externos, monitorear procesos de contenedores inesperados, adoptar una gestión sólida de secretos, aplicar políticas para deshabilitar o restringir el intercambio de archivos entre pares mediante AirDrop o Bluetooth y montar medios externos no administrados en dispositivos corporativos.