El grupo superó las 320 víctimas desde 2025 y basa su expansión en un modelo que ofrece mayores ganancias a sus afiliados, lo que le permite captar hackers experimentados y ejecutar ataques a gran escala.

Una de las operaciones de ransomware más activas del último tiempo quedó parcialmente expuesta tras el hallazgo de un servidor de comando y control en funcionamiento, vinculado a una célula de “The Gentlemen”, una organización que ya acumula más de 320 víctimas desde mediados de 2025. Solo en lo que va de 2026 se le atribuyen unos 240 ataques, lo que evidencia su acelerado crecimiento en el ecosistema del ciberdelito.

El descubrimiento permitió identificar además una botnet compuesta por más de 1.500 posibles objetivos corporativos. Este tipo de red está formada por dispositivos infectados —como computadoras, servidores o equipos conectados a internet— que son controlados de forma remota para ejecutar acciones maliciosas sin conocimiento de sus usuarios.

El éxito de la organización se apoya en su modelo de “ransomware como servicio” (RaaS), que ofrece a sus afiliados hasta el 90% del dinero obtenido en los rescates, una cifra superior al estándar del mercado ilegal. Este incentivo económico resulta clave para atraer a operadores con experiencia, que aportan acceso a redes comprometidas y conocimientos técnicos avanzados.

El esquema de funcionamiento es relativamente simple: los desarrolladores crean las herramientas y la infraestructura, mientras que los afiliados ejecutan los ataques y luego comparten las ganancias. Las ofensivas suelen dirigirse a organizaciones con sistemas expuestos, como redes privadas virtuales o portales de acceso remoto mal configurados, que funcionan como puerta de entrada.

Los incidentes analizados muestran un alto grado de coordinación y rapidez. En uno de los casos, el atacante ya contaba con acceso administrativo al sistema, lo que le permitió moverse lateralmente, desactivar mecanismos de defensa y desplegar el ransomware en toda la red casi de forma simultánea, maximizando el impacto antes de que pudiera activarse una respuesta.

El crecimiento de este tipo de amenazas refleja una tendencia global sostenida. En Argentina, las organizaciones registran en promedio 2.470 intentos de ataque semanales, mientras que América Latina lidera el ranking regional con más de 3.000 ataques por entidad cada semana. La proliferación de dispositivos sin actualizar o mal configurados sigue siendo el principal punto débil que explotan los ciberdelincuentes para llevar adelante sus operaciones.