LockBit 3.0: cómo opera el grupo de ransomware más activo y qué sectores ataca en España

El Equipo de TheWatcher · 12/09/2025 · 4 min de lectura

LockBit 3.0: el grupo de ransomware que hay que conocer

De todos los grupos de ransomware que han aparecido en los últimos años, LockBit es probablemente el que mejor ilustra hasta qué punto esta actividad se ha profesionalizado. No es una banda que ataca de forma oportunista: es una organización con un modelo de negocio definido, infraestructura propia y una estrategia de reclutamiento de "afiliados" que recuerda más a una franquicia que a un grupo criminal tradicional. Entender cómo opera ayuda a entender el ransomware moderno en general, no solo este caso concreto — si quieres el contexto completo, tenemos una guía de ransomware con la visión de conjunto.

Un modelo de franquicia criminal

LockBit no ejecuta la mayoría de sus ataques directamente. Sus desarrolladores construyen y mantienen el malware, la infraestructura de pago y hasta un panel de gestión para que terceros —los afiliados— lo usen contra sus propios objetivos, quedándose con un porcentaje del rescate cuando el ataque tiene éxito. Este reparto es lo que explica que un solo grupo pueda estar detrás de ataques simultáneos contra cientos de organizaciones en todo el mundo: no necesitan escalar su propio equipo, solo necesitan escalar su red de afiliados. Es la misma lógica que describimos al hablar de las fugas de datos más impactantes en España, varias de las cuales comparten este patrón.

Cómo se desarrolla un ataque de LockBit

El proceso sigue, con variaciones, la misma secuencia que la mayoría de los ataques de ransomware modernos:

  1. Acceso inicial, normalmente explotando vulnerabilidades conocidas en accesos remotos (RDP, VPN) o comprando credenciales ya filtradas en mercados de la dark web.
  2. Escalada de privilegios, hasta obtener permisos de administrador sobre la red.
  3. Exfiltración de datos, robando la información que después servirá como palanca de presión.
  4. Cifrado y exigencia de rescate, con un plazo límite antes de que los datos robados se publiquen.

Antes de llegar a la fase de cifrado, suele haber señales previas: credenciales corporativas circulando, accesos a la venta, menciones de la empresa en foros. Explicamos cómo detectarlas en cómo saber si tus datos están en la dark web.

Qué sectores prioriza en España

Los objetivos no son aleatorios. LockBit y grupos similares suelen concentrarse en sanidad (hospitales y clínicas, donde la presión por restaurar el servicio es máxima), manufactura y logística (donde parar la producción tiene un coste diario muy alto) y servicios profesionales —despachos de abogados, consultoras, asesorías— que manejan datos confidenciales de terceros y no siempre cuentan con equipos de seguridad dedicados. Muchas pymes de estos sectores comparten los mismos fallos básicos que facilitan la entrada; los repasamos en los errores de ciberseguridad más comunes en pymes españolas.

El impacto, más allá del rescate

LockBit ha llegado a listar en su propio blog de filtraciones a más de mil víctimas en un solo año, varias de ellas empresas españolas. Pero el coste no termina si se decide no pagar: si entre los datos robados hay información personal, la empresa puede enfrentarse además a sanciones bajo el RGPD por no proteger adecuadamente esos datos, además de la obligación de notificar el incidente. Ese marco legal lo desarrollamos en normativas de ciberseguridad en España.

Compruébalo tú mismo

TheWatcher monitoriza los sitios de extorsión que usan LockBit y otros grupos similares para publicar a sus víctimas, junto con otras señales relacionadas. Puedes revisar esa actividad directamente en el feed de ciberamenazas en España —filtra por "ransomware" para ver solo este tipo de incidentes— o consultar el mapa de geointeligencia para ver dónde se concentra la actividad. No hace falta registrarse ni tener conocimientos técnicos: es una lista y un mapa pensados para leerse de un vistazo.

Preguntas frecuentes

¿Qué diferencia a LockBit de otros grupos de ransomware? Sobre todo, la madurez de su modelo de afiliados y la velocidad con la que puede lanzar ataques simultáneos gracias a él.

¿Qué sectores son más vulnerables en España? Sanidad, manufactura, logística y servicios profesionales con datos confidenciales suelen concentrar buena parte de los casos.

¿Debo pagar si mi empresa es víctima? No se recomienda. No hay garantía de recuperar los datos ni de que no se publiquen igualmente, y cada pago sostiene el modelo de negocio de estos grupos.

Si quieres una vigilancia continua de tu dominio, marca o proveedores frente a este tipo de amenazas, puedes contactar con nuestro equipo y lo revisamos sin compromiso.