Ahora cualquiera puede hackear una empresa: el cibercrimen se ha convertido en un servicio por suscripción
Vect y TeamPCP demuestran que se puede robar datos sin virus sofisticados.
El mercado del ciberdelito dio otro paso hacia la extorsión «en cadena». El grupo Vect estableció inmediatamente dos asociaciones que simplifican drásticamente el inicio de las ataques y amplían su escala. En combinación con el foro BreachForums y el equipo TeamPCP, los atacantes convierten de hecho la distribución de ransomware en un servicio masivo con infraestructura lista y un flujo de accesos ya comprometidos.
Vect apareció a finales de 2025 como un servicio de ransomware bajo el modelo de «programa para afiliados». A comienzos de 2026, los operadores reforzaron la infraestructura y establecieron un sistema multinivel para los participantes. El grupo emplea la doble extorsión: primero roba datos, luego cifra sistemas y amenaza con su publicación. En cuanto al nivel de organización, el proyecto parece obra de operadores experimentados, posiblemente vinculados a campañas anteriores.
El nuevo esquema se apoya en dos pilares. El primero — BreachForums, uno de los mayores foros clandestinos de habla inglesa con cientos de miles de usuarios. La plataforma se está transformando de un escaparate de datos robados en una herramienta para lanzar ataques. A los participantes se les asignan claves de socios, se introduce un sistema de pagos en Monero e incluso elementos de «gamificación», donde los ingresos dependen de la actividad. De hecho, cualquier usuario del foro puede unirse a los ataques.
El segundo pilar — TeamPCP, un grupo que en marzo de 2026 atacó activamente cadenas de suministro de software. Los atacantes insertaron código malicioso en herramientas y paquetes populares, incluyendo Trivy, LiteLLM y otros componentes de CI/CD. A través de esas inserciones consiguieron recopilar claves API, accesos SSH y tokens de servicios en la nube. Ahora esos datos se entregan a los socios de Vect para ataques posteriores.
Este enfoque cambia la lógica misma del acceso. Antes los atacantes vulneraban el perímetro — mediante phishing o servicios vulnerables. En el modelo actual, el acceso se obtiene desde el interior de la infraestructura de las empresas, a través de los procesos de desarrollo y compilación. La escala también es distinta: se trata potencialmente de miles de organizaciones afectadas por una sola cadena de suministro.
Técnicamente, Vect usa código propio en C++, no reutiliza filtraciones de otros grupos. El cifrado se realiza con el algoritmo ChaCha20-Poly1305, y los archivos se dañan parcialmente para acelerar el ataque. El malware funciona en Windows, Linux y VMware ESXi, desactiva mecanismos de protección y se propaga por la red mediante SMB y WinRM. Antes de iniciar el cifrado, el programa detiene los servicios de seguridad y las copias de seguridad.
En el sitio de filtraciones de Vect ya aparecieron los primeros objetivos, entre ellos Guesty, USHA International y S&P Global, aunque algunas afirmaciones aún no tienen confirmación independiente. En un caso se trata de cientos de gigabytes de datos, presuntamente robados a través de la campaña de TeamPCP.
La combinación de un foro masivo, un proveedor de accesos y una plataforma de extorsión lista crea un modelo no visto antes a esta escala. Si el esquema se consolida, la barrera de entrada al cibercrimen se reducirá aún más, y los ataques serán más frecuentes y menos previsibles.
Los expertos recomiendan cambiar con urgencia todas las credenciales en los sistemas donde se emplearon las herramientas afectadas, verificar las dependencias en CI/CD y limitar los protocolos de red internos. Debe prestarse atención especial a la infraestructura de virtualización y al monitoreo de acciones sospechosas relacionadas con la preparación del cifrado.