16 dic 2025 - 09:18 PMLogo La Crónica
Destino C

México registró 285,400 intentos de ataques de ransomware entre junio de 2023 y julio de 2024, lo que equivale a 781 ataques diarios, un incremento del 165%

Makop: el ransomware que mantiene en vilo a organizaciones en México y América Latina

Por Jesús Sánchez
Makop: el ransomware que mantiene en vilo a organizaciones en México y América Latina México registró 285,400 intentos de ataques de ransomware entre junio de 2023 y julio de 2024
ransomware México registró 285,400 intentos de ataques de ransomware entre junio de 2023 y julio de 2024

México enfrenta una ola de ciberataques sin precedentes. Con más de 35,200 millones de intentos de ciberataques registrados en el primer trimestre de 2025, el país se posiciona como el segundo más atacado en América Latina, concentrando el 55% de los incidentes cibernéticos en la región. En este panorama alarmante, el ransomware Makop emerge como una de las amenazas más activas y sofisticadas que afectan a organizaciones de todos los sectores.

ANUNCIO

El linaje criminal detrás de Makop

Makop no es un actor nuevo en el escenario del cibercrimen. Surgido en 2020, este ransomware es una variante evolucionada de Phobos, que a su vez desciende de dos familias de malware notorias: Crysis y Dharma. Esta genealogía criminal representa una constante adaptación de los ciberdelincuentes ante las defensas de seguridad.

Cuando las herramientas de descifrado neutralizaron a Crysis en 2016, surgió Dharma. Y cuando Dharma fue comprometido, los atacantes respondieron con Phobos y posteriormente con Makop, una versión mejorada que opera bajo el modelo de Ransomware como Servicio (RaaS). Este sistema permite que afiliados de todo el mundo ejecuten ataques a cambio de una comisión, democratizando el cibercrimen y amplificando su alcance.

Cifras que alarman: México en la mira

Según el informes, México registró 285,400 intentos de ataques de ransomware entre junio de 2023 y julio de 2024, lo que equivale a 781 ataques diarios, un incremento del 165% comparado con el periodo anterior. Esta cifra posiciona al país únicamente por detrás de Brasil en la región latinoamericana.

Los sectores más vulnerables en territorio mexicano incluyen:

  • Manufactura: 29.77% de los intentos de ciberataques
  • Gobierno y organismos públicos
  • Sector financiero: con pérdidas superiores a 484 millones de pesos en el primer semestre de 2025
  • Agricultura
  • Educación
  • Retail

El impacto económico es monumental. En 2023, el 88% de las organizaciones mexicanas fueron afectadas por ransomware, con un costo promedio de recuperación de 2.3 millones de dólares por incidente. Solo el 19% logró recuperar algunos datos cifrados, mientras que el 45% optó por pagar el rescate exigido, recuperando en promedio apenas el 28% de su información.

La anatomía de un ataque Makop

Los ciberdelincuentes detrás de Makop emplean múltiples vectores de infección para comprometer sistemas:

Puertas de entrada principales

  1. Explotación de RDP (Remote Desktop Protocol): El método más utilizado implica atacar servicios de escritorio remoto expuestos a internet con configuraciones débiles. Los atacantes realizan ataques de fuerza bruta o diccionario contra sistemas con credenciales inadecuadas.
  2. Correos de phishing: Mensajes fraudulentos disfrazados como currículums, notificaciones de infracciones de derechos de autor o formularios de empleo que contienen archivos adjuntos maliciosos en formato ZIP o con extensiones inusuales.
  3. Sitios de torrents y publicidad maliciosa: Descargas de software de fuentes no confiables que ocultan el malware.

Cifrado sin retorno: la trampa perfecta

Una vez dentro del sistema, Makop emplea algoritmos de cifrado AES-256 y RSA, considerados prácticamente imposibles de descifrar mediante fuerza bruta. Los archivos afectados reciben una extensión característica que incluye un identificador único de 8 caracteres generado a partir del ProductId y Volume Serial Number del sistema, junto con una dirección de correo electrónico de contacto.

El malware también elimina todas las copias de seguridad del sistema ejecutando comandos para borrar las instantáneas de volumen (Volume Shadow Copies) y catálogos de respaldo de Windows, dejando a las víctimas sin opciones de recuperación inmediata.

Además, Makop permanece activo en modo inactivo después del cifrado inicial, esperando nuevos archivos para cifrarlos automáticamente, lo que complica aún más la recuperación del sistema.

ANUNCIO

México: ¿laboratorio de pruebas para ransomware del futuro?

Expertos en ciberseguridad han identificado una tendencia preocupante: países en desarrollo como México están siendo utilizados como campos de prueba para nuevas variantes de ransomware. Los ciberdelincuentes aprovechan la rápida digitalización combinada con infraestructuras de seguridad relativamente más débiles para perfeccionar sus tácticas.

Grupos como LockBit 3.0 (el más activo en México con 28 ataques documentados), Trigona, 8Base, Rhysida, Medusa, Raworld, Akira y Noescape están utilizando América Latina como terreno de entrenamiento. Una vez que logran infiltrarse exitosamente en empresas y gobiernos de la región, expanden sus operaciones hacia objetivos en países desarrollados.

Cómo protegerse ante la amenaza Makop

Ante este panorama desalentador, las organizaciones mexicanas deben adoptar una postura de ciberseguridad proactiva:

Medidas preventivas esenciales

  1. Fortalecer el acceso remoto
  2. Auditorías de seguridad periódicas
  3. Mantener sistemas actualizados
  4. Capacitación continua
  5. Respaldos robustos
  6. Soluciones avanzadas

Qué hacer durante un ataque

Si una organización sospecha que ha sido víctima de Makop, la respuesta debe ser inmediata:

  • Aislar sistemas afectados: Desconectar equipos comprometidos de la red para evitar propagación lateral.
  • No pagar el rescate sin asesoría: El 65% de quienes pagan no recuperan la totalidad de sus datos.
  • Contactar especialistas en recuperación: Existen equipos como Ransomware Help que cuentan con experiencia en recuperación de datos cifrados sin negociar con los atacantes.
  • Documentar el incidente: Preservar evidencia forense para análisis posterior.
  • Reportar a autoridades: Notificar a organismos competentes puede ayudar en la investigación.

Un enemigo que evoluciona constantemente

El caso de Makop ilustra la naturaleza adaptativa del cibercrimen moderno. Desde su aparición en 2020, este ransomware ha demostrado capacidad para evadir defensas tradicionales mediante polimorfismo (modificación constante de su código), técnicas Living off the Land (uso de herramientas legítimas del sistema operativo), y ofuscación de código para dificultar análisis forenses.

México se encuentra en una encrucijada digital. Con 4,701 incidentes de ransomware documentados globalmente solo en 2025 (un aumento del 46% interanual), y siendo el segundo país más atacado de América Latina, la situación exige una respuesta coordinada entre gobierno, sector privado y sociedad civil.

El mensaje es claro: en la guerra digital que se libra en México, la preparación y la vigilancia son las mejores armas contra adversarios que nunca duermen y que constantemente perfeccionan sus tácticas de ataque.