La aparición del grupo de ciberdelincuentes Wallstreet ha encendido las alarmas entre especialistas en ciberseguridad por su rápida expansión y su agresiva estrategia de extorsión digital. Aunque se trata de una organización relativamente nueva, detectada entre abril y junio de 2026, su actividad ya ha alcanzado a empresas de distintos sectores y mantiene bajo vigilancia a organizaciones en varios países, incluido Ecuador, donde recientemente se reportó un presunto ataque contra una compañía del sector de asistencia médica.El contraataque de Jeff Bezos en el espacio: Amazon activa su plan para acabar con el monopolio absoluto de Starlink este añoA diferencia de los ataques tradicionales de ransomware, Wallstreet aplica un modelo conocido como “doble extorsión”. Los delincuentes no solo cifran los sistemas de sus víctimas para impedir el acceso a la información, sino que antes extraen bases de datos, credenciales de administradores y documentos confidenciales. Posteriormente amenazan con publicar todo ese material en sitios ocultos de la red Tor si la empresa se niega a pagar el rescate.PublicidadLos análisis de inteligencia de amenazas indican que el grupo concentra sus ataques en organizaciones de los sectores manufacturero, automotriz, salud y entidades gubernamentales. Su objetivo principal son compañías que administran grandes volúmenes de información sensible, ya que la filtración de esos datos puede provocar graves daños reputacionales, sanciones regulatorias y pérdidas económicas incluso si los sistemas logran recuperarse.Así opera WallstreetEl ataque comienza generalmente mediante credenciales robadas obtenidas en filtraciones previas, campañas de phishing altamente dirigidas o el aprovechamiento de vulnerabilidades sin corregir en servidores expuestos a internet. Una vez dentro de la red corporativa, los atacantes realizan un reconocimiento de la infraestructura, identifican los equipos más valiosos y utilizan herramientas para obtener nuevas credenciales con privilegios elevados.Con ese acceso, se desplazan lateralmente por los sistemas utilizando protocolos como Remote Desktop Protocol (RDP), recopilan la información de mayor valor y la comprimen para enviarla a servidores externos mediante canales cifrados. Solo después de completar el robo de datos ejecutan el ransomware o inician el proceso de extorsión, otorgando a la víctima un plazo de entre cuatro y cinco días para negociar antes de hacer pública la información.PublicidadPublicidadEl colapso de las tiendas de aire acondicionado tradicionales en Europa: el invento chino que destruye el mercado europeo ante la peor ola de calorLos investigadores también señalan que Wallstreet utiliza sitios de filtración alojados en la red Tor y plataformas de mensajería cifrada como Tox para mantener comunicación con las víctimas, dificultando el rastreo de sus operaciones por parte de las autoridades.Ecuador frente a un escenario cada vez más complejoEl crecimiento de grupos como Wallstreet ocurre en un contexto de aumento de los ciberataques en Ecuador. Especialistas advierten que América Latina registra más de 2.600 ataques cibernéticos semanales en promedio y que el ransomware creció un 78 % en la región durante el último año. En el país, empresas públicas y privadas han enfrentado incidentes que demuestran que las amenazas digitales ya representan un riesgo para la continuidad de los negocios.Expertos recomiendan fortalecer las medidas de prevención mediante autenticación multifactor, actualización constante de sistemas, monitoreo del tráfico de red, copias de seguridad desconectadas de la infraestructura principal y capacitación permanente del personal para identificar intentos de phishing. También aconsejan vigilar conexiones no autorizadas hacia la red Tor y detectar movimientos inusuales de grandes volúmenes de información, dos de los indicadores más comunes en las operaciones atribuidas a Wallstreet.Para los analistas de ciberseguridad, la principal amenaza ya no es únicamente el secuestro de los sistemas, sino la posibilidad de que información estratégica de empresas, clientes y proveedores termine expuesta en internet, un escenario que puede generar consecuencias económicas y legales mucho más duraderas que el propio ataque informático. (I)