Cómo el ransomware Medusa usa zero-days para atacar en menos de 24 horas, según Microsoft

¿Qué es ransomware Medusa zero-day y por qué es relevante?

Puntos clave

• El grupo Medusa ha perfeccionado una cadena de ataque que le permite pasar del acceso inicial al cifrado total en menos de 24 horas.
• Explota de forma agresiva vulnerabilidades zero-day y n-day en sistemas expuestos a internet, con especial foco en el sector sanitario.
• Microsoft destaca el uso de fallos en SmarterMail (CVE-2026-23760) y GoAnywhere MFT (CVE-2025-10035) una semana antes de su divulgación pública.
• Su modus operandi incluye la creación inmediata de cuentas de usuario legítimas y el uso masivo de herramientas de gestión remota como ConnectWise ScreenConnect.
• Los indicadores apuntan a una base operativa rusófona, con evidencia de posibles vínculos con el grupo norcoreano Lazarus.

El grupo de ransomware Medusa zero-day ha alcanzado una velocidad operativa alarmante, capaz de completar un ataque completo — desde la brecha inicial hasta el despliegue del cifrado — en un margen de menos de 24 horas. Así lo ha constatado Microsoft en una investigación reciente, que destaca la creciente tendencia de este actor a explotar vulnerabilidades críticas incluso antes de que se hagan públicas, poniendo en jaque a organizaciones de sectores críticos como la sanidad, la educación y las finanzas.

La velocidad letal del ransomware Medusa: de la brecha al cifrado en un día

Los analistas de Microsoft han quedado sorprendidos por la alta efectividad y el ritmo operativo del grupo Medusa. En múltiples incidentes documentados, los atacantes han demostrado una capacidad excepcional para moverse lateralmente por la red, exfiltrar datos sensibles y desplegar el ransomware en cuestión de horas. Este lapso reducido, que a menudo no supera un día, deja un margen de reacción minúsculo a los equipos de defensa, aumentando drásticamente la probabilidad de éxito del ataque. ransomware Medusa zero-day es clave para entender el alcance de esta amenaza.

El objetivo principal son los sistemas perimetrales expuestos a internet que presentan vulnerabilidades conocidas o, en el caso más peligroso, fallos aún no divulgados públicamente (zero-day). Medusa opera con especial agresividad durante la ventana de tiempo que media entre la divulgación de un fallo y la aplicación generalizada de los parches por parte de las organizaciones. Esta táctica, conocida como explotación de vulnerabilidades n-day, es devastadoramente eficaz contra entidades con ciclos de parcheo lentos.

Tácticas de acceso inicial y movimiento lateral

Una vez obtenido el acceso inicial, los atacantes de Medusa ejecutan un playbook predefinido y altamente eficiente. Una de las primeras acciones, según han observado los respondedores de incidentes, es la creación inmediata de nuevas cuentas de usuario con privilegios elevados. Esta medida les permite mantener el acceso persistente incluso si se descubren y cierran los vectores de entrada originales.

Para el movimiento lateral y el control remoto, el grupo depende en gran medida de herramientas de administración legítimas, abusando de software como ConnectWise ScreenConnect, AnyDesk y SimpleHelp. El uso de estas aplicaciones, comúnmente permitidas en los entornos corporativos, les ayuda a evadir detecciones basadas en firmas de malware tradicionales y a camuflar su actividad dentro del tráfico normal de la red.

Explotación agresiva de vulnerabilidades zero-day y n-day

Lo que distingue a la operación Medusa en el actual panorama de amenazas es su proactividad en la búsqueda y explotación de fallos frescos. Microsoft ha citado dos ejemplos concretos en su análisis: CVE-2026-23760 en SmarterMail y CVE-2025-10035 en GoAnywhere Managed File Transfer. Los investigadores han documentado que Medusa estaba explotando activamente estas vulnerabilidades al menos una semana antes de que se emitieran avisos públicos y parches oficiales.

Esta capacidad sugiere un sofisticado mecanismo de investigación de vulnerabilidades internas o, posiblemente, la compra de exploits en los mercados clandestinos. La CISA (Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU.) ya había confirmado previamente que ambos CVE estaban siendo utilizados en campañas de ransomware. Esta práctica convierte la ventana de exposición tradicional —desde el descubrimiento del fallo hasta la aplicación del parche— en un período de extremo riesgo, donde los atacantes llevan la iniciativa.

Casos de estudio: CVE-2026-23760 y CVE-2025-10035

El fallo CVE-2026-23760 en SmarterMail, un servidor de correo empresarial, permitía a un atacante remoto ejecutar código arbitrario. Por su parte, CVE-2025-10035 en GoAnywhere MFT, una plataforma de transferencia segura de archivos, facilitaba la autenticación no autorizada. Ambos sistemas son componentes críticos en miles de organizaciones, y su compromiso ofrece a los atacantes una posición privilegiada desde la que acceder a datos sensibles y desplegar el cifrado.

La rápida adopción de estos exploits por parte de Medusa subraya un cambio de paradigma. Ya no se trata solo de aprovecharse de organizaciones que no parchean con la debida celeridad, sino de atacar a aquellas que, simplemente, aún no han tenido la oportunidad de hacerlo porque el fallo ni siquiera era conocido.

Perfil y motivaciones del grupo Medusa: un actor rusófono con objetivos claros

Los expertos en ciberinteligencia, basándose en varios indicadores, sitúan las operaciones de Medusa en un entorno rusófono. Entre las pistas se encuentra la evitación sistemática de objetivos en países de la Comunidad de Estados Independientes (CEI), la actividad en foros de habla rusa y el uso de alfabeto cirílico en algunas de sus herramientas operativas. El grupo emergió en 2021 y desde entonces ha mostrado una clara predisposición por atacar infraestructuras críticas, especialmente en Estados Unidos.

Sus campañas han tenido un impacto devastador en el sector sanitario, como demostró el ataque al University of Mississippi Medical Center (UMMC), el hospital más grande del estado, que necesitó la intervención del FBI y del Departamento de Seguridad Nacional para reabrir completamente sus servicios. Otros objetivos recientes incluyen gobiernos municipales, como el condado de Passaic en Nueva Jersey, y organizaciones de los sectores educativo y financiero en Australia, Reino Unido y Estados Unidos.

Conexiones con Lazarus y la evolución de la amenaza

Un dato que añade una capa adicional de complejidad a la amenaza es el posible vínculo con actores estatales. Investigadores de Symantec han reportado haber observado a miembros del grupo Lazarus, la famosa unidad de ciberoperaciones norcoreana, desplegando el ransomware Medusa en algunas campañas. Esta superposición podría indicar una relación de alquiler de servicios (ransomware-as-a-service) o una cooperación táctica, lo que elevaría el nivel de sofisticación y recursos disponibles para la operación.

Esta convergencia entre el cibercrimen motivado económicamente y las tácticas de los grupos patrocinados por estados-nación es una tendencia preocupante que los equipos de seguridad deben tener en cuenta en sus modelos de amenaza.

Estrategias de defensa para organizaciones en el punto de mira

Ante un adversario con la velocidad y agresividad de Medusa, las estrategias defensivas tradicionales basadas únicamente en la aplicación de parches resultan insuficientes. Microsoft enfatiza la necesidad crítica de que las organizaciones comprendan y gestionen exhaustivamente su huella digital expuesta a internet. Esto implica un inventario continuo y automatizado de todos los activos perimetrales, la evaluación constante de su postura de seguridad y la monitorización proactiva en busca de actividad anómala.

La implementación de una detección y respuesta extendidas (XDR) que correlacione señales de endpoints, red, identidad y correo electrónico se vuelve esencial para identificar los movimientos laterales rápidos. Asimismo, es crucial aplicar el principio de privilegio mínimo en todas las cuentas de usuario y servicio, y monitorizar de cerca la creación de cuentas nuevas o inusuales, una de las primeras señales de compromiso observadas en los ataques de Medusa.

Finalmente, las organizaciones deben asumir que serán objetivo de exploits para vulnerabilidades zero-day o n-day. Por ello, la segmentación robusta de la red, las copias de seguridad inalterables y aisladas, y la preparación y ensayo regular de los planes de respuesta a incidentes no son recomendaciones, sino imperativos para la resiliencia empresarial en 2026.

---