Ransomware VECT: Por qué pagar no te devolverá tus archivos

• Pagar transfiere dinero a los delincuentes sin obtener nada a cambio
VECT destruye permanentemente los archivos grandes en lugar de bloquearlos. Ni siquiera los atacantes
pueden recuperarlos y por tanto el pago no restaura los datos
• La vulnerabilidad de cifrado existe en todas las versiones. Variantes de Windows, Linux y ESXi se ven
afectadas. El error existe desde antes del lanzamiento público de la versión 2.0 y nunca se ha corregido
• Check Point Threat Emulation y Harmony Endpoint ofrecen protección completa contra todas las variantes
conocidas de VECT
Bogotá, abril 29 de 2026 – VECT surgió a finales de 2025 con una ambición inusual: en lugar de reclutar a un
pequeño grupo selecto de socios criminales, como en el modelo tradicional de ransomware, abrió sus
puertas a todo el mundo. Mediante una alianza formal con BreachForums, un importante mercado de
ciberdelincuencia, VECT distribuyó automáticamente el acceso a su plataforma de ransomware a todos los
miembros registrados del foro. Miles de operadores potenciales, prácticamente de la noche a la mañana.
Al mismo tiempo, VECT anunció una alianza con TeamPCP, el grupo responsable de una serie de ataques a la
cadena de suministro a principios de este año que comprometieron herramientas de software populares
utilizadas por empresas de todo el mundo. El objetivo declarado, anunciado abiertamente en BreachForums,
era utilizar ese acceso existente como plataforma de lanzamiento para ataques de ransomware contra
empresas ya afectadas por dichos ataques.
Sobre el papel, esto parecía una amenaza seria y escalable. En la práctica, Check Point Research obtuvo
acceso al panel de afiliados y al creador de aplicaciones, analizó las tres cargas útiles y descubrió algo que los
propios operadores del grupo quizás desconozcan: su software está defectuoso de una manera que lo hace
mucho más destructivo y mucho menos rentable de lo previsto.
Nuestros investigadores también creen que VECT es más probable que sea obra de novatos que de
operadores de ransomware experimentados. El patrón de errores, idéntico en todas las plataformas y sin
corregir en todas las versiones, no es consistente con un grupo experimentado. No se puede descartar la
posibilidad de que partes del código fuente se hayan generado con asistencia de IA, lo que ayudaría a
explicar cómo un grupo podría producir algo que parece creíble en la superficie, pero que contiene errores
fundamentales.
El fallo crítico: Es un borrador, no un ransomware.
Se supone que el ransomware es reversible. El atacante bloquea tus archivos, guarda la clave y la devuelve
cuando pagas. Ese es el modelo de negocio. El software de VECT rompe este modelo por completo, no con
intención, sino por error. Cuando VECT cifra archivos grandes, y prácticamente todos los archivos
importantes para una empresa cumplen con los requisitos, elimina permanentemente la información
necesaria para revertir el proceso. No hay clave que devolver. El atacante no puede proporcionar un
descifrador funcional, porque los medios para descifrarlos ya no existen. Esto afecta a los archivos que los
grupos de ransomware suelen usar como su principal arma: imágenes de máquinas virtuales, bases de datos,
copias de seguridad y archivos comprimidos. Para estos tipos de archivos, VECT no es un ransomware. Es un
programa que borra datos con una nota de rescate adjunta.
CPR confirmó que esta vulnerabilidad existe en las tres versiones del software VECT (Windows, Linux y
VMware ESXi) y ha estado presente en todas las versiones conocidas del malware, incluidas muestras
anteriores al lanzamiento público de la versión 2.0. Nunca se ha corregido.

©2026 Check Point Software Technologies Ltd. All rights reserved | P. 2​

Apariencia profesional, graves deficiencias
VECT ha invertido mucho en parecer legítimo. El panel de afiliados está bien diseñado. Las alianzas son
reales. El marketing está bien elaborado. Pero el análisis del código real cuenta una historia diferente. Varias
funciones que el grupo anuncia a los operadores simplemente no funcionan. La configuración de velocidad
de cifrado, ofrecida como una forma de equilibrar velocidad y exhaustividad, es aceptada por el software y
luego ignorada silenciosamente. Cada ataque se ejecuta de forma idéntica, independientemente de la
configuración que elija el operador.
“Las herramientas de evasión de seguridad diseñadas para ayudar a VECT a evitar la detección se crearon y
compilaron en el software, pero nunca se activan. Cualquier investigador de seguridad puede ejecutar VECT
hoy mismo sin que el malware responda de forma evasiva. Estos no son descuidos menores. Son el tipo de
errores que se detectarían con pruebas básicas, y sugieren que el grupo ha priorizado la apariencia de una
operación profesional sobre su desarrollo”, explica Manuel Rodríguez, Gerente de Ingeniería de Seguridad en
NOLA de Check Point Software.
VECT podría estar basado en un código fuente de ransomware filtrado con anterioridad a 2022 y no escrito
desde cero como afirma el grupo. Un indicador revelador es una configuración de geovallado inusual: el
software de VECT está configurado para evitar atacar objetivos en Ucrania, un país que la mayoría de los
grupos de ransomware de habla rusa dejaron de proteger tras la guerra de 2022. Mantener esta exclusión
apunta a un código heredado de una fuente antigua, no a una postura ideológica deliberada.
¿Qué significa esto para su organización?
Si ha sido víctima:
No pague. Para archivos grandes, que incluyen la gran mayoría de los datos críticos para el negocio, no existe
ni existirá un descifrador funcional. Pagar transfiere dinero a los delincuentes sin obtener nada a cambio.
Céntrese en la recuperación a partir de copias de seguridad limpias y contacte inmediatamente con su
equipo de respuesta a incidentes.
Si no ha sido víctima:
Las limitaciones actuales de VECT no lo hacen inofensivo. Los datos aún pueden ser exfiltrados antes de que
se ejecute el cifrado. Los sistemas aún pueden fallar. Las vulnerabilidades identificadas son corregibles; sin
embargo, una futura versión que las solucione, distribuida a través de la misma red que ya cuenta con miles
de afiliados, sería significativamente más peligrosa. Este grupo merece ser vigilado. Las organizaciones
expuestas a los recientes ataques a la cadena de suministro de TeamPCP, que afectaron a herramientas de
desarrollo ampliamente utilizadas como Trivy, KICS, LiteLLM y Telnyx, deberían priorizar la rotación de
credenciales.
‍Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza
datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén
actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las
fuerzas de seguridad y varios CERTs.
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. es un líder mundial en ciberseguridad que protege a más de 100.000 organizaciones en todo el mundo. Su misión es asegurar la transformación
de IA de las empresas. Basada en un enfoque de prevención prioritaria y una arquitectura de ecosistema abierto, Check Point ayuda a las organizaciones a reducir riesgos, simplificar
operaciones e innovar con confianza. La arquitectura de seguridad unificada se adapta continuamente a las amenazas en evolución y a la expansión de las superficies de ataque de IA,
protegiendo redes híbridas, entornos en la nube, espacios de trabajo digitales y sistemas de IA. Estructurada en torno a cuatro pilares estratégicos: seguridad de redes de malla híbrida,
seguridad de espacios de trabajo, gestión de la exposición y seguridad de IA, Check Point ofrece protección y visibilidad consistentes en toda la red.
©2026 Check Point Software Technologies Ltd. Todos los derechos reservados.
Aviso legal sobre declaraciones prospectivas
Este comunicado de prensa contiene declaraciones prospectivas. Las declaraciones prospectivas generalmente se refieren a eventos futuros o a nuestro desempeño financiero u operativo futuro. Las declaraciones
prospectivas incluidas en este comunicado de prensa incluyen, pero no se limitan a, declaraciones relacionadas con nuestras expectativas respecto al crecimiento futuro, la expansión del liderazgo de Check Point
Software en la industria, la mejora del valor para los accionistas y la entrega de una plataforma de ciberseguridad líder en la industria a clientes de todo el mundo. Nuestras expectativas y creencias sobre estos temas
pueden no materializarse, y los resultados o eventos futuros están sujetos a riesgos e incertidumbres que podrían hacer que los resultados reales o los eventos difieran significativamente de los proyectados.
Las declaraciones prospectivas contenidas en este comunicado de prensa también están sujetas a otros riesgos e incertidumbres, incluyendo aquellos descritos con mayor detalle en nuestros archivos ante la Comisión
de Bolsa y Valores (SEC), incluyendo nuestro Informe Anual en el Formulario 20-F presentado ante la SEC el 2 de abril de 2024. Las declaraciones prospectivas en este comunicado de prensa se basan en la información
disponible para Check Point Software a la fecha de este documento, y Check Point Software renuncia a cualquier obligación de actualizar cualquier declaración prospectiva, salvo que lo exija la ley.