Una nueva familia de ransomware denominada DeadLock está implementando el uso de smart contracts de Polygon para distribuir y rotar direcciones de servidores proxy. Según la firma de ciberseguridad Group-IB, esta técnica avanzada permite al malware infiltrarse en dispositivos evitando los sistemas de seguridad tradicionales. El informe oficial destaca que este método innovador dificulta el rastreo de las actividades criminales.
Desde su identificación inicial en julio de 2025, el malware ha mantenido un perfil bajo en el ecosistema. Esto se debe principalmente a que no posee un programa de afiliados público ni un sitio de filtración de datos. Por ende, el impacto inicial ha sido limitado a pocos objetivos específicos. No obstante, los investigadores advierten que su capacidad técnica representa una amenaza creciente y peligrosa.
La técnica utilizada por DeadLock guarda similitudes con campañas previas detectadas en redes como Ethereum. En estos casos, los atacantes aprovechan la inmutabilidad de la red para alojar fragmentos de código malicioso. De este modo, los delincuentes aseguran que su infraestructura sea resistente a los bloqueos. Asimismo, el uso de proxies rotativos complica la identificación de los nodos de control principales.
Estrategias avanzadas de evasión mediante la infraestructura descentralizada de la red
El uso de smart contracts de Polygon permite a los operadores de DeadLock gestionar endpoints de forma dinámica. Group-IB descubrió código JavaScript que interactúa directamente con la red para obtener nuevas puertas de enlace. Por lo que la arquitectura descentralizada se convierte en un refugio para el código malicioso. Además, el ransomware emplea la blockchain como un canal encubierto que es prácticamente imposible de desmantelar por completo.
Asimismo, las versiones más recientes de este malware incluyen métodos de comunicación directa con las víctimas. DeadLock utiliza un archivo HTML que funciona como envoltorio para la aplicación de mensajería cifrada Session. Por ello, los atacantes establecen canales de negociación totalmente privados y seguros. De este modo, el ransomware evoluciona hacia una sofisticación que desafía los estándares actuales de protección digital.
¿Cuáles son las principales señales de infección detectadas en los equipos comprometidos?
Por otra parte, los sistemas infectados muestran cambios evidentes en la estructura de sus archivos digitales. El ransomware renombra los documentos cifrados con la extensión «.dlock» y modifica el fondo de escritorio. Además, las notas de rescate advierten sobre la posible venta de información sensible. Por lo que la presión psicológica sobre el usuario es un componente clave del ataque. Hasta el momento, se han identificado al menos tres variantes distintas de esta amenaza.
Finalmente, la falta de visibilidad pública de este grupo no debe interpretarse como una ausencia de riesgo. Los expertos sugieren que el desarrollo de DeadLock demuestra un conjunto de habilidades técnicas muy evolucionado. Por lo cual, las organizaciones deben reforzar sus protocolos de monitoreo de red. El mercado de la ciberseguridad espera un aumento en el uso de estas tácticas descentralizadas próximamente. Asimismo, la cooperación internacional será vital para mitigar estos ataques complejos.
