Un ataque de ransomware suele marcar uno de los peores días para cualquier empresa o institución. Pero esta vez, el desastre no solo golpeó a las víctimas. También dejó a los propios atacantes completamente bloqueados. Un fallo crítico de programación en una variante del ransomware Nitrogen provocó que los datos cifrados quedaran irrecuperables para siempre, incluso para quienes exigían el pago.
El error afecta a una versión del ransomware diseñada para atacar servidores VMware ESXi, una infraestructura clave que aloja máquinas virtuales completas. Este tipo de ataques no es nuevo, pero sí lo es el desenlace: la clave necesaria para descifrar los archivos se pierde durante el propio proceso de cifrado, haciendo imposible cualquier recuperación.
Desde el punto de vista técnico, el problema ocurre en una etapa temprana del ataque. Parte de la clave pública de cifrado es sobrescrita con ceros —ocho bytes completos— debido a un fallo de programación conocido como off-by-one. Al romperse la relación matemática entre la clave pública y la privada, no existe forma alguna de generar la clave correcta, ni siquiera para los desarrolladores del ransomware.
Un rescate imposible de cobrar
El resultado es devastador para las víctimas, pero también inútil para los atacantes. Aunque el grupo exige un pago, no hay forma de devolver el acceso a los datos, lo que hace que cualquier transferencia de dinero sea completamente en vano. La única alternativa viable para los afectados es restaurar copias de seguridad recientes. Si estas no existen, los datos se dan por perdidos.
Un análisis técnico publicado por Veeam confirma la naturaleza irreversible del fallo y sugiere que el error fue accidental, no intencional. Aun así, el impacto es total: sistemas cifrados, operaciones paralizadas y ningún camino de vuelta.
La variante de Nitrogen enfocada en ESXi se aprovecha de una debilidad común en muchas organizaciones: una protección sólida en sistemas operativos, pero políticas más laxas en los hipervisores. Esto permite a los atacantes cifrar múltiples máquinas virtuales de una sola vez, amplificando el daño en segundos.
Un historial que agrava el golpe
El grupo Nitrogen no es nuevo en el panorama del cibercrimen. Ha estado activo desde 2023 y ha apuntado a instituciones financieras de Norteamérica, empresas industriales e incluso a estudios de videojuegos como Red Barrel, desarrolladores de la saga Outlast. Sin embargo, este fallo marca un punto de inflexión insólito: un ataque que destruye por completo el incentivo económico del ransomware.
Para las víctimas, el mensaje es claro y brutal. Pagar no sirve de nada. Para los atacantes, el error se traduce en una forma involuntaria de destrucción mutua: datos cifrados sin retorno y rescates que jamás podrán cobrarse.
El incidente deja al descubierto una realidad incómoda del cibercrimen moderno: incluso los grupos más activos pueden cometer errores básicos que convierten un ataque millonario en un fracaso absoluto.