El ransomware VECT, descubierto a finales de 2025, presenta un error de programación que destruye de forma irreversible todos los archivos mayores de 128KB que infecta, impidiendo su recuperación incluso si se accede a pagar el rescate. Este fallo se ha convertido en un caso poco habitual dentro del panorama del malware, pues convierte el ataque en una destrucción efectiva y definitiva de los datos afectados.
Este incidente ha sido analizado por Check Point Research (CPR), cuyos expertos han identificado que el ransomware, lejos de comportarse correctamente, actúa como un ‘wiper’, borrando datos en lugar de permitir su descifrado. Esto ocurre porque durante el proceso de cifrado, VECT elimina sin querer las claves necesarias para desbloquear los archivos más grandes, haciendo que cualquier intento posterior de desbloqueo sea inviable.
Cómo afecta el fallo del ransomware VECT a los archivos cifrados
El ransomware fragmenta los archivos mayores de 128KB en cuatro partes, cifrándolas cada una con una clave diferente, llamada nonce, que debería almacenarse para permitir la descifrada. Sin embargo, el programa escribe estos nonces en una misma zona de memoria, sobrescribiendo las claves anteriores con la última. Como resultado, solo se conserva la última clave para el archivo completo.
Esto provoca que, incluso si la víctima dispone de la clave de descifrado facilitada por los atacantes, la integridad de las claves necesarias para restaurar el archivo se haya perdido. Por ello, los archivos cifrados son, en la práctica, irrecuperables.
Indicios de código generado por inteligencia artificial y otros errores
CPR señala que el código presenta varios problemas adicionales. Entre ellos, un uso ineficiente de los hilos de CPU, rutinas de ofuscación de cadenas inútiles y equivocaciones en la identificación de cifras criptográficas. Estos indicadores sugieren que parte del ransomware podría haber sido generado por herramientas de inteligencia artificial o que se basó en una base de código anticuada y poco revisada.
Asimismo, VECT ofrece la opción de tres modos de cifrado —rápido, medio y seguro— aunque ninguno de ellos se activa realmente en el código, lo que refleja una falta de coherencia técnica en su diseño.
Contexto y riesgos futuros del ransomware VECT
A pesar de estos errores, los creadores del ransomware VECT cuentan con una infraestructura de distribución notable, capaz de afectar sistemas Windows, Linux y máquinas virtuales ESXi. También mantienen asociaciones con otros grupos maliciosos y una red propia para llevar afiliados, lo que facilita la propagación de la amenaza y podría acelerar su evolución técnica.
Un detalle curioso es que este malware aún incluye a Ucrania como miembro de la Comunidad de Estados Independientes, algo que la mayoría de grupos de ransomware omitieron tras la invasión de Rusia en 2022, indicando que parte de su base de código podría ser antigua o poco actualizada.
Este no es un incidente aislado: se han detectado anteriormente otros errores graves en ransomware conocidos, como el incidente con Nitrogen, que también imposibilitó el desbloqueo debido a una mala manipulación de claves. La tendencia a utilizar código generado automática o parcialmente por inteligencia artificial puede aumentar la presencia de estas fallas en el futuro.
Es importante destacar que, aunque VECT falla en su finalidad principal, la amenaza sigue siendo real. Los desarrolladores muestran conocimientos sobre ransomware efectivo y podrían corregir estos errores para lanzar versiones mejoradas, aprovechando la red y el sistema que ya poseen para infectar más ordenadores.
Por tanto, este caso sirve como advertencia sobre la evolución de las amenazas en ciberseguridad, donde incluso errores notorios en el código pueden no ser definitivos ni evitar que el malware siga representando un peligro a medio plazo.
