La firma de ciberseguridad **Check Point Software** ha estado rastreando de cerca a **The Gentlemen**, una sofisticada operación de "ransomware-as-a-service" (RaaS). La atractiva división de ingresos del 90/10 para afiliados de **The Gentlemen** – significativamente más alta que el estándar de la industria del 80/20 – ha acelerado efectivamente su crecimiento al atraer operadores experimentados de programas rivales. Según **Check Point**, **The Gentlemen** se ha convertido en el segundo grupo de ransomware más activo por número de víctimas este año, reclamando al menos 332 víctimas publicadas desde su inicio a mediados de 2025, con más de 240 solo en 2026. Su modus operandi implica dirigirse a dispositivos expuestos a Internet como VPN y firewalls como puntos de entrada iniciales, moviéndose rápidamente para cifrar redes enteras en cuestión de horas una vez dentro. **Check Point** identifica al administrador y operador principal del grupo con el apodo **Zeta88** en foros de cibercrimen en ruso, anteriormente conocido como **Hastalamuerte**. Una brecha en la infraestructura backend del grupo supuestamente confirmó que **Hastalamuerte**/**Zeta88** es responsable de ensamblar el locker y el panel RaaS, gestionar los pagos y supervisar toda la operación, recibiendo el 10 por ciento de todos los rescates. ## ¿Quién es Hastalamuerte? La firma de inteligencia **Intel 471** revela que **Hastalamuerte** es un individuo de habla rusa e inglesa que se registró en casi una docena de foros de cibercrimen entre 2019 y la actualidad, incluyendo **Exploit**, **Breachforums**, **Ramp_V2**, **BHF**, **Raidforums** y **Nulled**. **Intel 471** descubrió que **Hastalamuerte** se registró en **Breachforums** en enero de 2025 desde una dirección de Internet en **Izhevsk**, la capital de la República de Udmurtia en Rusia. De manera similar, el usuario **Zeta88** se registró en el foro de cibercrimen en inglés Breached en agosto de 2022 desde una dirección IP diferente de **Izhevsk**. Una investigación adicional de **Intel 471** muestra que **Hastalamuerte** se registró en **Raidforums** en 2020 utilizando la dirección de correo electrónico **[email protected]**. El número '1488' es un símbolo conocido asociado con la supremacía blanca. Una búsqueda de **Epieos** en esta dirección la vincula a una cuenta de Apple y a un número de teléfono que termina en **04**. **Epieos** también conecta esta dirección de Protonmail a una cuenta de GitHub bajo el nombre de usuario **SantaMuerte**. Aunque la cuenta es privada, su historial de actividad indica participación en la observación y desarrollo de varias herramientas de malware y exploits. En abril de 2020, **Hastalamuerte** publicó en el foro criminal **Nulled**, proporcionando el nombre del servicio de mensajería instantánea Telegram **@hastalamuerte18**. La empresa de inteligencia de amenazas **Flashpoint** confirmó que este nombre de usuario está asignado al número de ID único de Telegram **30907522**. El servicio de seguimiento de brechas **Constella Intelligence** informa que el ID de Telegram de **Hastalamuerte** está vinculado a otro nombre de usuario, "**bu4vs**", y al número de teléfono ruso **79127650004**. Al pivotar sobre este número en **Constella** se obtuvieron múltiples registros de bases de datos comprometidas del gobierno ruso, asignándolo a **Alexander Andreevich Yapaev**, un hombre de 36 años de **Izhevsk**. **Constella** también encontró que este número de teléfono se utilizó para crear una cuenta en la plataforma de redes sociales rusa Pikabu bajo el nombre "**4apai18**", y que el Sr. **Yapaev** se ha registrado en varios sitios web utilizando el apellido "Chapaev" (con '4' a menudo sustituyendo 'ch' en ruso). Una búsqueda de **Intel 471** de miembros de foros de cibercrimen con el apodo **SantaMuerte** reveló una cuenta creada en 2020 en el foro de hacking ruso Codeby. **Intel 471** muestra que este usuario se registró originalmente en Codeby con el apodo menos sutil **Alexandr 4apaev**. **Constella** indica que el Sr. **Yapaev** utilizó regularmente la dirección de correo electrónico **[email protected]**. Mientras tanto, **Epieos** vincula esta dirección a una cuenta de LinkedIn de **Alexander Yapaev**, quien se presenta como el jefe de marketing B2B en **Uralenergo Udmurtia**, un importante proveedor ruso de productos electrotécnicos e iluminación. El Sr. **Yapaev** no respondió a múltiples solicitudes de comentarios. ## ¿Por qué las aparentes fallas en OpSec? Es una observación común que muchos ciberdelincuentes, particularmente aquellos que operan desde Rusia, parecen dejar rastros digitales discernibles. Esto a menudo proviene de una inmersión gradual en el cibercrimen en lugar de una intención inicial de ser un criminal endurecido. Sus habilidades evolucionan con el tiempo, y los errores tempranos en la seguridad operacional (OpSec) son frecuentes debido a un riesgo percibido menor. Otro factor significativo es la postura del gobierno ruso, que a menudo coopta u omite las actividades de ciberdelincuencia dentro de sus fronteras, siempre que no se dirijan a empresas o ciudadanos rusos. Esto proporciona un grado de aislamiento de las fuerzas del orden extranjeras, lo que fomenta un enfoque menos estricto de la OpSec, especialmente para aquellos que inicialmente tienen la intención de adherirse a estas reglas no escritas. Por ejemplo, las primeras publicaciones de **Hastalamuerte** de 2019-2020 revelan a un hacker relativamente poco sofisticado aprendiendo lo básico. En junio de 2020, la cuenta de Telegram de **Hastalamuerte** se unió a un programa de capacitación de varios meses (@pntst) para herramientas de pruebas de penetración, con publicaciones francas que muestran luchas iniciales para dominar estas herramientas.