El aviso de CISA publicado en marzo de 2025 lo confirma: Medusa ransomware ha comprometido más de 300 organizaciones en sectores de infraestructura crítica, incluyendo salud, educación, tecnología y administración pública. No es la cifra de un grupo emergente. Es la huella de una operación activa desde junio de 2021 que, a diferencia de Hive, BlackCat o LockBit, no ha sido desarticulada. Mientras las fuerzas del orden celebraban takedowns contra sus competidores, Medusa aprovechó el vacío para consolidar su red de afiliados y escalar su alcance global.

La diferencia no está en la sofisticación técnica del ransomware en sí, aunque es considerable. Está en la disciplina operativa del modelo que lo sostiene: centralización de las negociaciones, selección meticulosa de víctimas y una táctica de extorsión diseñada para convertir cada negativa en una escalada de presión.

Entendiendo el Ransomware Medusa

Medusa opera bajo el modelo RaaS (Ransomware as a Service): un núcleo centralizado desarrolla y mantiene el malware, mientras afiliados en distintas geografías ejecutan los compromisos a cambio de una comisión. La infraestructura de negociación de rescate permanece bajo control del grupo central, lo que garantiza coherencia en la presión y evita que afiliados inexpertos rompan el ciclo de extorsión por impaciencia o descuido.

Lo que hace a Medusa particularmente difícil de contener es su táctica de doble extorsión: el cifrado de datos no es el único vector de presión. Antes de activar el payload, los actores exfiltran volúmenes significativos de información sensible. Si la víctima se niega a pagar, la amenaza pasa a ser la publicación en el Medusa Blog, el sitio de filtraciones del grupo en la dark web, donde los datos robados se exponen con nombre de organización, muestra de archivos y un contador regresivo hacia la publicación total.

Las Escuelas Públicas de Minneapolis aprendieron esto en 2023: tras negarse a pagar el rescate exigido, Medusa publicó 92 GB de datos que incluían información de estudiantes menores de edad, expedientes psicológicos y documentación interna de recursos humanos. El impacto regulatorio y reputacional fue inmediato, duradero y, a diferencia del cifrado, irreversible.

Del Grupo Cerrado al Ecosistema RaaS

En sus primeras operaciones Medusa funcionaba como un colectivo cerrado. La transición al modelo RaaS no fue inmediata ni impulsiva: fue una decisión estratégica tomada cuando el grupo ya contaba con infraestructura probada, un sistema de negociación funcional y un historial de compromisos exitosos que le daba credibilidad para reclutar afiliados. El Medusa Blog, formalizado en 2023 como plataforma pública de filtración y presión, fue el elemento que completó la arquitectura: sin un mecanismo de exposición creíble, la amenaza de doble extorsión pierde la mitad de su peso.

Ese salto fue el que permitió la escala. Cuando el FBI y Europol desarticularon Hive en enero de 2023, y cuando las autoridades interrumpieron las operaciones de BlackCat/ALPHV en 2024, los afiliados de esas redes necesitaban un nuevo operador. Medusa estaba posicionado para recibirlos: infraestructura estable, volúmenes de rescate documentados y una política de reparto de ganancias competitiva para afiliados que aportaran acceso inicial de calidad.

Los sectores más afectados confirman que los afiliados no son oportunistas sin criterio: salud, manufactura, educación, servicios legales y gobierno local tienen en común activos críticos, baja tolerancia a la interrupción y, con frecuencia, capacidades de respuesta limitadas. Esa selección no es casualidad. Es targeting con retorno calculado sobre víctimas que no pueden permitirse semanas sin operar.

Cómo Ataca Medusa: El Ciclo de Infección

Los vectores de entrada son conocidos, pero no por eso más fáciles de cerrar. Phishing dirigido, explotación de vulnerabilidades sin parchear en VPNs y RDP expuesto, y compra de acceso a través de Initial Access Brokers (IABs) en foros underground marcan el punto de partida. El aviso de CISA documenta que CVEs con más de seis meses de antigüedad siguen siendo vectores de entrada activos en compromisos recientes de Medusa, lo que dice más sobre la velocidad de parcheo de las víctimas que sobre la sofisticación del ataque inicial.

Una vez dentro, los actores aplican tácticas LOTL (living-off-the-land): evitan herramientas propias y utilizan lo que ya existe en el sistema, PowerShell, WMI, PsExec, para moverse lateralmente sin generar firmas reconocibles. La técnica más disruptiva documentada es BYOVD (Bring Your Own Vulnerable Driver): los atacantes instalan un driver legítimo pero con vulnerabilidad conocida que les permite operar en modo kernel y terminar procesos de seguridad activos. Cuando el EDR deja de responder, el entorno está preparado para la fase final.

El kill chain completo mapea con precisión en el framework MITRE ATT&CK:

• Acceso inicial (T1566, T1190): phishing y explotación de servicios remotos expuestos con CVEs sin parchear o credenciales compradas a IABs.
• Evasión y desactivación de defensa (T1562.001): BYOVD para terminar procesos EDR y antivirus desde modo kernel, eliminando la visibilidad del defensor antes del cifrado.
• Exfiltración previa (T1567): sincronización silenciosa con infraestructura cloud controlada por los actores usando Rclone, completada antes de cualquier acción visible sobre los datos.
• Impacto (T1486, T1490): cifrado masivo de archivos y eliminación de copias de seguridad accesibles desde el entorno comprometido, para cerrar la única vía de recuperación sin pago.

El Precio de No Pagar

Medusa no presenta un único ultimátum. Presenta tres. La víctima puede pagar para obtener el descifrador, pagar una tarifa diaria para retrasar la publicación en el Medusa Blog, o pagar para que los datos sean eliminados sin exposición pública. Cada opción tiene su precio. La negativa a cualquiera de las tres activa la publicación con nombre de organización, muestra de archivos robados y contador regresivo visible para cualquiera que visite el sitio.

Este modelo de presión escalonada está diseñado para organizaciones con alto riesgo reputacional y regulatorio. Un hospital que ve comprometidos los registros clínicos de sus pacientes no evalúa solo el coste del rescate: evalúa el coste regulatorio bajo HIPAA o el RGPD, el litigioso frente a pacientes afectados y el reputacional que implica una filtración pública documentada. Medusa construye su modelo de negocio sobre esa ecuación. El pago no es una opción que ofrece, es la conclusión a la que quiere que la víctima llegue sola.

Estrategias para Contener a Medusa

La defensa efectiva no empieza cuando el ransomware cifra el primer archivo. Empieza semanas antes, en decisiones de arquitectura que demasiados equipos de seguridad aplazan.

El parcheo de vulnerabilidades en servicios expuestos, especialmente VPNs y RDP, es el control más básico y el que más frecuentemente falla. Sin un programa sistemático de remediación de vulnerabilidades, el perímetro siempre tendrá grietas que los IABs van a encontrar antes de que el equipo de seguridad las registre en el backlog de parcheo.

El segundo control crítico es la visibilidad en endpoint. Las soluciones EDR y XDR con detección comportamental, no solo de firmas, son el mecanismo que permite identificar actividad LOTL y BYOVD antes de que el cifrado se active. Sin telemetría profunda en endpoint y en red, la primera señal visible del compromiso suele ser la nota de rescate, no la anomalía que lo precedió por horas.

La segmentación de red es el tercer pilar. Una arquitectura Zero Trust que limita el movimiento lateral por diseño hace que incluso un compromiso inicial exitoso no se traduzca en un cifrado masivo de toda la red. No elimina el riesgo, lo contiene dentro de un radio de explosión asumible. Y los backups, que deben estar aislados de la red principal y verificarse periódicamente: Medusa cifra primero las copias accesibles, luego los datos de producción. Si el backup está conectado, no es un backup, es una segunda copia del problema.

La pregunta ya no es si vendrá otro Medusa. La pregunta es: ¿qué tan preparado estás cuando llegue?