El mundo del ransomware no solo está evolucionando, sino que también se fragmenta, se descentraliza y se vuelve más peligroso. En este panorama volátil, DragonForce se perfila como uno de los actores más intrigantes y amenazantes de 2025. Nacido con posibles raíces hacktivistas y ahora plenamente inmerso en la economía del cibercrimen, DragonForce representa una nueva era de amenazas híbridas: ideológicamente ambigua, tecnológicamente ágil y ferozmente oportunista.

Un cártel de ransomware creado para la economía colaborativa
DragonForce apareció por primera vez en diciembre de 2023 con el lanzamiento de su portal web oscuro "DragonLeaks". Algunos investigadores remontan su linaje a DragonForce Malasia, un colectivo hacktivista de larga trayectoria. Sin embargo, su trayectoria actual dista mucho de ser puramente ideológica. Para 2025, DragonForce se había convertido en un cártel de ransomware con un modelo de negocio diseñado para atraer
a afiliados desplazados o autónomos. Sus principales características incluyen:

• 20 % de participación en los ingresos: una comisión inferior a la de la mayoría de las ofertas de ransomware como servicio (RaaS).
• Kits de ransomware de marca blanca: los afiliados pueden crear marcas de ransomware únicas, compilar sus propios binarios y personalizar notas de rescate y extensiones de archivo.

• Infraestructura prediseñada: acceso a herramientas de negociación, almacenamiento cifrado y sitios de filtración con plantillas (con la marca "RansomBay").

Tras la desaparición de RansomHub en abril de 2025, DragonForce actuó rápidamente para absorber a sus afiliados, presentándose como una alternativa ágil a los operadores tradicionales que habían colapsado. En un mundo donde la confianza en las grandes marcas de RaaS se está erosionando, DragonForce ofrece anonimato, flexibilidad y rentabilidad.

Ransomware en 2025: Un auge histórico
El auge de DragonForce se produce durante un pico récord en la actividad global de ransomware.
Según el informe "Estado del Ransomware" del primer trimestre de 2025 de Check Point:

• Se reportaron 2289 víctimas de ransomware identificadas públicamente solo en el primer trimestre, lo que representa un aumento interanual del 126 %, estableciendo un récord histórico.
• 74 grupos distintos de ransomware operan actualmente simultáneamente, lo que pone de manifiesto una explosión de nuevos actores y amenazas impulsadas por afiliados.
• A pesar de la creciente proliferación de reclamaciones infladas y listas de víctimas recicladas, el promedio mensual ajustado de víctimas confirmadas ha superado las 650 al mes, un aumento asombroso desde las aproximadamente 450 al mes de 2024.

El ransomware no solo está creciendo en volumen, sino que también está mutando en su método. Muchos grupos se centran cada vez más en la extorsión de datos sin cifrado, lo que reduce la complejidad operativa y acelera la monetización.

El comercio minorista en la mira: Reino Unido bajo asedio
En abril y mayo de 2025, DragonForce lanzó una campaña dirigida a minoristas británicos de alto perfil.
Estos ataques provocaron interrupciones de varios días en plataformas de comercio electrónico, programas de fidelización y operaciones internas. La campaña podría reflejar un cambio estratégico más amplio: alejarse de los ingresos exclusivamente por rescates y centrarse en la recolección de información personal identificable (PII) de gran volumen para monetización secundaria.
Los datos de Check Point confirman la tendencia:
El sector de bienes y servicios de consumo (que incluye el comercio minorista) es ahora el quinto sector vertical más atacado en el Reino Unido, con:

• 1337 ciberataques semanales por organización
• Tasa de ataques un 8 % superior a la media nacional
• Un aumento interanual del 22 % para el sector

Esto coincide con las preferencias más amplias de ataques de ransomware, en particular de grupos como Cl0p, que también muestran un enfoque desproporcionado en este sector.

Un ecosistema fragmentado que alimenta el fuego
DragonForce no es el único que se está adaptando. Con el desmantelamiento de LockBit y ALPHV por parte de las fuerzas del orden en 2024, el ecosistema del ransomware se ha fragmentado:
• RansomHub llenó brevemente el vacío antes de desaparecer en abril de 2025.
• Decenas de actores de nivel medio compiten ahora por afiliados, incluyendo grupos como Akira, Medusa y Play.
• La fidelidad de los afiliados es baja y los modelos de negocio se están volviendo agresivos, muchos de los cuales ofrecen repartos 80/20 y cero costes iniciales.
DragonForce destaca por fusionar la simplicidad de una plataforma con la influencia de un movimiento. Ofrece no solo herramientas, sino también identidad y alineación, por muy vagas o flexibles que sean.
IA, automatización y el próximo paso del ransomware
Los informes de Check Point para 2025 también señalan una tendencia alarmante: el aumento del uso de IA en el desarrollo de malware y la expansión de campañas:
• Grupos como FunkSec han utilizado desarrolladores de malware asistidos por LLM, lo que reduce la barrera técnica de entrada.
• Se están implementando herramientas de suplantación de identidad de audio y video mediante deepfake para mejorar la ingeniería social y la manipulación de víctimas.
• Los delincuentes ahora utilizan GenAI para gestionar campañas de phishing multilingües, ataques BEC e incluso el robo de OTP mediante bots de llamadas automatizados.
Esta tendencia está acelerando la profesionalización de las operaciones de ransomware. También dificulta exponencialmente el trabajo de los defensores.

Protección Infinity: Diseñada para las amenazas actuales
Check Point se prepara para este momento con ciberseguridad basada en IA y centrada en la prevención:
• Infinity ThreatCloud AI: Detecta y bloquea el 99,8 % del malware y el phishing, previniendo más de 3000 millones de ataques al año.
• Infinity AI Copilot: Automatiza la implementación de políticas de seguridad, la respuesta a incidentes y la búsqueda de amenazas, liberando equipos y cubriendo la falta de talento.
• Cobertura completa: Desde endpoints hasta la nube, desde centros de datos hasta SaaS, con visibilidad unificada de toda la superficie de ataque.
En un panorama de amenazas definido por el ransomware organizado, la falsificación de marcas y la automatización basada en IA, solo la inteligencia de seguridad consolidada y en tiempo real puede mantener a las organizaciones a la vanguardia.

Conclusión: El ransomware cómo cártel, el delito como marca
DragonForce no es solo una banda de ransomware: es una estrategia de marketing, un modelo de negocio y un ecosistema, todo en uno. Y eso lo hace más peligroso que la mayoría. Su éxito no reside en la sofisticación técnica, sino en reducir las barreras al cibercrimen. En dar un hogar a los ex afiliados. En permitir que nuevos actores construyan su propia marca. Y en capitalizar un mundo que aún lucha por adaptarse a la realidad del ransomware como servicio. DragonForce se adelantó al futuro, el ransomware es descentralizado, automatizado y de un acceso inquietante.