Ir al contenido

BERT: el ransomware que evoluciona y pone en jaque a salud y tecnología

Un grupo emergente cifra Windows y Linux, paraliza máquinas virtuales ESXi y desactiva defensas con PowerShell

Un grupo emergente cifra Windows y Linux, paraliza máquinas virtuales ESXi y desactiva defensas con PowerShell

Anatomía de BERT

Investigadores de ciberseguridad identificaron a BERT en abril de 2025 y confirman su actividad creciente al 7 de julio. El código es simple pero altamente eficiente: emplea un loader en PowerShell que eleva privilegios, apaga Windows Defender y descarga el ejecutable desde un servidor remoto antes de cifrar archivos con AES.

Vectores de ataque y capacidades técnicas

  • Cifrado multihilo: la variante para Linux usa hasta 50 hilos y fuerza el apagado de máquinas ESXi para maximizar el daño.
  • Ransom note “Hello from Bert!”: tras comprometer el sistema, deja una nota exigiendo pago en criptomonedas.
  • Evolución rápida: versiones recientes inician el cifrado en cuanto localizan un archivo, a diferencia de los prototipos que primero inventariaban directorios.

Sectores afectados y alcance geográfico

Los primeros blancos confirmados se concentran en hospitales, software empresarial y servicios de eventos en Estados Unidos, Asia y Europa; los analistas prevén su expansión a manufactura y finanzas si el grupo mantiene el ritmo de desarrollo.

Riesgos para México y América Latina

Los sistemas de salud y fintechs locales emplean infraestructuras Windows-Linux mixtas similares a las observadas. La alta dependencia de servidores virtualizados hace particularmente crítico proteger instancias ESXi, comunes en data centers mexicanos.

Estrategias de defensa proactiva

  1. Monitoreo de PowerShell y scripts: bloquea ejecuciones no firmadas y activa registro extendido.
  2. Segmentación de redes críticas: aísla servidores clínicos y bases de datos financieras.
  3. Backups inmutables: copias desconectadas para reducir la presión de pago.
  4. Respuesta temprana a IOCs: integra hashes y direcciones IP asociadas a BERT en los SIEM corporativos.
  5. Pruebas de restauración: valida la recuperación de VMs ESXi al menos una vez al mes.

Próximos pasos de la amenaza

La telemetría muestra versiones nuevas cada pocas semanas; se espera que el grupo incorpore técnicas de doble extorsión (filtrado de datos) y vectores de entrada vía aplicaciones SaaS en los próximos meses. Mantener parches actualizados, MFA y un plan de contención probado será decisivo.

¿Tu empresa cuenta con un plan serio contra ransomware? 

En www.SiteSupremacy.com diseñamos sitios seguros, auditamos infraestructuras y aplicamos SEO técnico sin comprometer la protección. 

Visítanos y fortalece tu presencia digital antes de que BERT toque a tu puerta.

¡Empieza hoy!

José Mario Rivera Carranza 8 de julio de 2025
Compartir
Archivar
Alerta del FBI: Scattered Spider extiende su telaraña al sector aéreo
La sofisticada banda de cibercriminales ya ha vulnerado aerolíneas y proveedores, usando ingeniería social y evasión de MFA