Check Point Research obtuvo acceso al panel de afiliados y al creador de aplicaciones de VECT, analizó sus tres cargas útiles y descubrió un fallo crítico que los propios operadores del grupo posiblemente desconocen: su software destruye permanentemente los archivos que promete secuestrar.
VECT surgió a finales de 2025 con una estrategia inusual. En lugar de reclutar un grupo selecto de socios criminales como en el modelo tradicional de ransomware, abrió sus puertas a todos los miembros registrados de BreachForums, un importante mercado de ciberdelincuencia, distribuyendo automáticamente acceso a su plataforma.
Miles de operadores potenciales de la noche a la mañana.
Al mismo tiempo, VECT formalizó una alianza con TeamPCP, el grupo responsable de una serie de ataques a la cadena de suministro a principios de este año que comprometieron herramientas de software populares utilizadas por empresas de todo el mundo.
El objetivo declarado era usar ese acceso existente como plataforma de lanzamiento para ataques de ransomware contra empresas ya afectadas.
El fallo crítico: es un borrador de datos, no un ransomware
El ransomware funciona bajo una lógica específica: el atacante bloquea los archivos, retiene la clave y la devuelve cuando la víctima paga. Ese es el modelo de negocio. El software de VECT rompe este modelo por completo, no intencionadamente, sino por error.
Cuando VECT cifra archivos grandes —prácticamente todos los archivos críticos para una empresa—, descarta permanentemente la información necesaria para revertir el proceso. No hay clave que devolver.
El atacante no puede proporcionar un descifrador que funcione, no porque no quiera, sino porque los medios para descifrarlo ya no existen.
Esto afecta precisamente a los archivos que los grupos de ransomware usan como su principal arma: imágenes de máquinas virtuales, bases de datos, copias de seguridad y archivos comprimidos.
Para este tipo de archivos, VECT no es ransomware. Es un borrador de datos con una nota de rescate adjunta.
Check Point Research confirmó que esta vulnerabilidad existe en las tres versiones del software VECT —Windows, Linux y VMware ESXi— y ha estado presente en todas las versiones conocidas del malware, incluidas muestras anteriores al lanzamiento público de la versión 2.0. Nunca ha sido corregida.
Apariencia profesional, graves deficiencias
VECT invirtió en proyectar una imagen de legitimidad. El panel de afiliados está bien diseñado. Las alianzas son reales. El marketing es impecable. Pero el análisis del código revela una historia diferente.
Varias funciones que el grupo anuncia a los operadores simplemente no funcionan. La configuración de velocidad de cifrado, ofrecida como una forma de equilibrar velocidad y exhaustividad, es aceptada por el software y luego ignorada silenciosamente.
Todos los ataques se ejecutan de forma idéntica, independientemente de la configuración elegida.
Las herramientas de evasión de seguridad diseñadas para evitar la detección se integraron y compilaron en el software, pero nunca se activan.
Hay indicios además de que VECT podría estar basado en código fuente de ransomware filtrado anterior a 2022.
Un indicador revelador es una elección inusual de geovallado: el software está configurado para evitar atacar objetivos en Ucrania, un país que la mayoría de los grupos de ransomware de habla rusa dejaron de proteger tras la guerra de 2022.
Mantener esa exclusión apunta a código heredado de una fuente anterior, y no a una postura ideológica deliberada.
Los investigadores de Check Point también creen que VECT es más probable que sea obra de novatos que de operadores experimentados.
El patrón de errores, idéntico en todas las plataformas y sin corregir en todas las versiones, no es consistente con un grupo experimentado. No se puede descartar que partes del código se hayan generado con ayuda de IA.
Qué significa esto para las organizaciones
Si la organización fue víctima: no pagar es la recomendación categórica. Para archivos grandes, que incluyen la gran mayoría de los datos críticos para el negocio, no existe ni existirá un descifrador funcional.
Pagar solo transfiere dinero a los delincuentes sin ningún beneficio. El foco debe estar en la recuperación a partir de copias de seguridad limpias y en contactar de inmediato con el equipo de respuesta a incidentes.
Si la organización no fue víctima: las limitaciones actuales de VECT no lo hacen inofensivo. Los datos aún pueden ser exfiltrados antes de que se ejecute el cifrado. Los sistemas siguen fallando.
Y aunque las vulnerabilidades identificadas son corregibles, una futura versión que las solucione, distribuida a través de la misma red que ya cuenta con miles de afiliados, sería significativamente más peligrosa.
Las organizaciones expuestas a los recientes ataques a la cadena de suministro de TeamPCP —que afectaron a herramientas de desarrollo ampliamente utilizadas como Trivy, KICS, LiteLLM y Telnyx— deben priorizar la rotación de credenciales de inmediato.
Check Point Threat Emulation y Harmony Endpoint proveen protección completa contra todas las variantes conocidas de VECT en entornos Windows, Linux y ESXi.
