DeadLock Ransomware utiliza código para evadir los métodos tradicionales de desactivación a través de la cadena de bloques de Polygon

Los investigadores de seguridad han descubierto una técnica innovadora y preocupante en la que una operación de ransomware aprovecha los contratos inteligentes de Polygon para mantener una infraestructura de comando y control persistente que evade eficazmente los esfuerzos convencionales de desmantelamiento. El enfoque basado en código representa un cambio significativo en la forma en que los ciberdelincuentes pueden weaponizar la tecnología blockchain con fines criminales.

Group-IB, una firma líder en investigación de ciberseguridad, publicó hallazgos el 15 de enero detallando cómo la variante de ransomware DeadLock—observada por primera vez a mediados de 2025—emplea este método novedoso. A diferencia de las operaciones tradicionales de ransomware que dependen de servidores centralizados vulnerables a interrupciones, esta amenaza utiliza contratos inteligentes accesibles públicamente para almacenar y gestionar direcciones de proxy rotativas, creando una arquitectura distribuida que resulta extremadamente difícil de desactivar.

Cómo el código del ransomware evade la detección a través de blockchain

El enfoque técnico es engañosamente simple pero altamente efectivo. Una vez que DeadLock infiltra el sistema de la víctima y ejecuta su carga de cifrado, el malware contiene código incrustado programado para consultar un contrato inteligente específico de Polygon a intervalos regulares. Este contrato funciona como un almacén de configuración dinámico, que mantiene las direcciones actuales de los servidores proxy que facilitan los canales de comunicación entre los atacantes y los sistemas comprometidos.

La elegancia de esta arquitectura radica en su naturaleza descentralizada. Los atacantes pueden actualizar las direcciones de proxy dentro del contrato inteligente en cualquier momento, permitiéndoles rotar continuamente su infraestructura sin necesidad de redeployar el malware en las máquinas de las víctimas. De manera crítica, el ransomware solo realiza operaciones de lectura en la blockchain—las víctimas no generan transacciones ni incurren en tarifas de gas. Esta característica de solo lectura asegura que la operación permanezca sigilosa y sea económicamente eficiente.

El mecanismo de rotación de proxies crea esencialmente una columna vertebral de comunicación resistente y autoactualizable que los procedimientos tradicionales de desmantelamiento por parte de las fuerzas del orden no pueden cortar fácilmente. Cada cambio de proxy se realiza en la cadena, registrado de forma inmutable pero funcional de inmediato, dejando a los defensores persiguiendo objetivos que cambian constantemente.

Por qué esta estrategia de código evade la defensa convencional

El modelo de amenaza difiere fundamentalmente de la infraestructura de ransomware heredada. Los servidores tradicionales de comando y control, aunque vulnerables a la interrupción y confiscación, operan desde ubicaciones identificables. Las fuerzas del orden pueden rastrear, identificar y cerrar estos recursos centralizados. La arquitectura de blockchain distribuida de Polygon elimina por completo este punto vulnerable.

Debido a que los datos del contrato inteligente permanecen replicados en miles de nodos distribuidos en todo el mundo, no existe un único punto de fallo. Desactivar una dirección de proxy resulta inútil cuando el malware recupera automáticamente las direcciones actualizadas desde un contrato inteligente inmutable. La infraestructura logra una resistencia sin precedentes mediante la descentralización—una cualidad que hace que los procedimientos tradicionales de desmantelamiento sean en gran medida ineficaces.

El análisis de Group-IB identificó múltiples contratos inteligentes vinculados a esta campaña que fueron desplegados o actualizados entre finales de 2025 y principios de 2026, confirmando actividad operativa en curso. La firma estimó que actualmente el grupo de víctimas es limitado, sin conexiones confirmadas con redes de afiliados de ransomware establecidas o plataformas de filtración de datos públicas.

Distinción crítica: Uso indebido del código versus vulnerabilidad del protocolo

Los investigadores enfatizaron una aclaración crucial: DeadLock no explota vulnerabilidades en Polygon en sí, ni compromete contratos inteligentes de terceros operados por protocolos DeFi, billeteras cripto o servicios de puente. La operación no descubre ni aprovecha vulnerabilidades zero-day ni fallos en el protocolo.

En cambio, el actor de amenazas explota lo que es fundamentalmente una característica de las cadenas de bloques públicas: la naturaleza transparente, inmutable y públicamente legible de los datos en la cadena. Esta técnica tiene una similitud conceptual con ataques anteriores de “EtherHiding” que también aprovecharon las características inherentes de la blockchain en lugar de fallos tecnológicos.

La distinción es importante para el ecosistema en general. Los usuarios de Polygon no enfrentan un riesgo técnico directo por la vulnerabilidad del protocolo. La blockchain funciona exactamente como fue diseñada. Sin embargo, el caso demuestra cómo los registros públicos pueden ser reutilizados para apoyar infraestructura criminal de maneras que evaden las medidas de seguridad tradicionales.

Implicaciones para la evolución del panorama de amenazas

Aunque las operaciones actuales de DeadLock permanecen relativamente contenidas, los expertos en ciberseguridad advierten que la metodología posee un potencial de replicación significativo. La técnica es económica de implementar, no requiere infraestructura especializada y resulta difícil de bloquear o contrarrestar sistemáticamente. Si grupos de ransomware más establecidos o empresas criminales adoptan enfoques similares, las implicaciones de seguridad podrían escalar dramáticamente.

La estrategia basada en código democratiza esencialmente una infraestructura de comando y control resistente, poniendo técnicas de evasión poderosas al alcance incluso de actores con recursos modestos. A medida que la tecnología blockchain se expande en múltiples redes y las soluciones Layer 2 crecen, las oportunidades para un uso indebido similar probablemente aumentarán.

La divulgación de Group-IB funciona como una advertencia temprana de que la intersección entre la sofisticación del ransomware y la utilidad de blockchain crea vectores de ataque novedosos que requieren un pensamiento defensivo renovado y monitoreo proactivo. El caso subraya cómo la transparencia de la blockchain pública, aunque beneficiosa para aplicaciones legítimas, también permite enfoques creativos para actores de amenazas decididos a evadir medidas defensivas basadas en código e infraestructura.