{"id":549,"date":"2026-04-14T16:41:22","date_gmt":"2026-04-14T16:41:22","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/14\/el-manual-de-black-basta-sigue-vivo-mientras-antiguos-afiliados-lanzan-una-campana-de-intrusion-a-gran-escala\/"},"modified":"2026-04-14T16:41:22","modified_gmt":"2026-04-14T16:41:22","slug":"el-manual-de-black-basta-sigue-vivo-mientras-antiguos-afiliados-lanzan-una-campana-de-intrusion-a-gran-escala","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/14\/el-manual-de-black-basta-sigue-vivo-mientras-antiguos-afiliados-lanzan-una-campana-de-intrusion-a-gran-escala\/","title":{"rendered":"El manual de Black Basta sigue vivo mientras antiguos afiliados lanzan una campa\u00f1a de intrusi\u00f3n a gran escala"},"content":{"rendered":"
\n

Seg\u00fan ReliaQuest, un peque\u00f1o grupo de antiguos afiliados de Black Basta ha atacado a m\u00e1s de 100 empleados en docenas de organizaciones para invadir los sistemas de red y potencial robo de datos, implementaci\u00f3n de ransomware y extorsi\u00f3n.<\/p>\n

La campa\u00f1a de ingenier\u00eda social, que implica bombardeos masivos de correos electr\u00f3nicos y suplantaci\u00f3n de la mesa de ayuda de Microsoft Teams, aument\u00f3 el mes pasado<\/a> y se remonta al menos a mayo de 2025, dijo ReliaQuest en un informe el martes. <\/p>\n

Los atacantes se han dirigido principalmente a los altos directivos para obtener un acceso altamente privilegiado. \u00abAproximadamente tres cuartas partes de los usuarios objetivo eran ejecutivos, directores, gerentes o roles similares de alto valor\u00bb, dijeron a CyberScoop por correo electr\u00f3nico los investigadores que trabajaron en el informe. <\/p>\n

Los ciberdelincuentes involucrados en Black Basta, una rama de Conti, se dispersaron despu\u00e9s de que los registros de chat internos del grupo de amenazas se filtraran en l\u00ednea en febrero de 2025, proporcionando a los investigadores de amenazas y a las autoridades detalles clave sobre las operaciones del grupo. <\/p>\n

La polic\u00eda alemana identific\u00f3 p\u00fablicamente en enero a Oleg Evgenievich Nefedov, un ciudadano ruso, como el presunto l\u00edder de Black Basta. Nefedov, un hombre de 35 a\u00f1os que posteriormente fue incluido en las listas de los m\u00e1s buscados Europol<\/a> y Interpol<\/a>supuestamente form\u00f3 y dirigi\u00f3 Black Basta desde 2022, dijeron las autoridades. <\/p>\n

Se le acusa de extorsionar a m\u00e1s de 100 empresas en Alemania y alrededor de 600 pa\u00edses m\u00e1s en todo el mundo.<\/p>\n

ReliaQuest dijo que la campa\u00f1a observada recientemente comparte muchas similitudes con la actividad anterior de Black Basta y sigue el mismo manual (herramientas, orientaci\u00f3n y estilo de ejecuci\u00f3n) asociado con el otrora prol\u00edfico grupo de ransomware. <\/p>\n

\u00abEso incluye el uso repetido de herramientas de acceso remoto, una fuerte concentraci\u00f3n en sectores hist\u00f3ricamente favorecidos por Black Basta y un nivel de velocidad y coordinaci\u00f3n que sugiere que los operadores experimentados est\u00e1n bas\u00e1ndose en un manual que ya saben que funciona\u00bb, dijeron los investigadores. <\/p>\n

\u00abTenemos cuidado de no tratar ning\u00fan artefacto en particular como prueba definitiva, pero en conjunto, las similitudes son lo suficientemente fuertes como para evaluar que es muy probable que est\u00e9n involucrados antiguos afiliados u operadores estrechamente alineados\u00bb, agregaron los investigadores de ReliaQuest. <\/p>\n

El sitio de filtraci\u00f3n de datos de Black Basta se cerr\u00f3 poco despu\u00e9s de que se filtraran sus chats internos el a\u00f1o pasado, pero los ciberdelincuentes no capturados generalmente se dispersan y se unen a nuevos grupos despu\u00e9s de un desmantelamiento o disoluci\u00f3n. Los cazadores de amenazas advirtieron que los ex miembros todav\u00eda estaban apuntando activamente a v\u00edctimas adicionales a principios de este a\u00f1o. <\/p>\n

ReliaQuest public\u00f3 su informe, que incluye indicadores de compromiso, despu\u00e9s de observar un aumento particularmente pronunciado en la actividad en marzo, se\u00f1alando que el objetivo del grupo se centraba m\u00e1s en los empleados de alto nivel.<\/p>\n

\u00abLos operadores se est\u00e1n moviendo muy r\u00e1pidamente, con partes del flujo de trabajo volvi\u00e9ndose m\u00e1s automatizadas o altamente optimizadas, lo que hace que la campa\u00f1a sea m\u00e1s f\u00e1cil de escalar y m\u00e1s dif\u00edcil para los defensores interrumpirla antes de que se establezca el acceso remoto\u00bb, dijeron los investigadores.<\/p>\n

Los cinco principales sectores objetivo de los recientes ataques al estilo Black Basta incluyen la manufactura, los servicios profesionales, las finanzas y seguros, la construcci\u00f3n y la tecnolog\u00eda, seg\u00fan ReliaQuest.<\/p>\n

Los atacantes suelen bombardear a los empleados objetivo con cientos de correos electr\u00f3nicos en cuesti\u00f3n de minutos y luego contactan a los usuarios objetivo, haci\u00e9ndose pasar por el soporte de TI a trav\u00e9s de mensajes directos en Microsoft Teams o una llamada telef\u00f3nica. ReliaQuest dijo que ha observado que algunos atacantes logran acceso remoto minutos despu\u00e9s de la primera se\u00f1al de una bomba de correo electr\u00f3nico.<\/p>\n

Los investigadores no dijeron cu\u00e1ntas organizaciones han sido invadidas con \u00e9xito como resultado de esta campa\u00f1a hasta el momento. <\/p>\n

Si bien la extorsi\u00f3n parece ser el objetivo m\u00e1s probable, ReliaQuest advirti\u00f3 que no se debe asumir que cada ataque resulta en cifrado de ransomware.<\/p>\n

\u00abSeg\u00fan lo que hemos observado, la cadena de intrusi\u00f3n est\u00e1 dise\u00f1ada para obtener acceso r\u00e1pidamente, comprender el entorno y crear opciones para la monetizaci\u00f3n posterior\u00bb, dijeron los investigadores. \u00abEso podr\u00eda conducir al robo de datos, la extorsi\u00f3n sin cifrado o la implementaci\u00f3n de ransomware, dependiendo de la v\u00edctima y la oportunidad\u00bb.<\/p>\n