Introducción
El 26 de mayo de 2026, el grupo de ransomware Play añadió a MyPillow en su sitio de filtración de datos, amenazando con publicar información confidencial si no se paga el rescate. Este incidente no es aislado: según datos del FBI de mayo de 2025, Play había comprometido aproximadamente 900 organizaciones en ese momento, consolidándose como una de las cinco variantes de ransomware más activas contra infraestructuras críticas. La capacidad de este grupo para exfiltrar datos sensibles —desde nóminas hasta documentos fiscales— y su historial de ataques a sectores estratégicos (como el gobierno suizo en 2023 o Microchip Technology en 2024) lo convierten en un actor relevante para equipos de DevOps, seguridad y SRE.
Lo llamativo del caso de MyPillow no es solo el blanco —una empresa con exposición mediática—, sino el modus operandi: la banda no solo cifra datos, sino que roba información antes de cifrarla, un comportamiento típico de grupos que combinan extorsión con filtraciones públicas. Esto obliga a los equipos técnicos a revisar no solo sus backups, sino también sus controles de acceso, segmentación de redes y políticas de retención de logs.
Qué ocurrió
El 26 de mayo de 2026, el sitio de filtración Play Leaks publicó a MyPillow como víctima de un ataque de ransomware. Según la publicación —verificada por The Register y compartida por la firma de inteligencia FalconFeeds— los atacantes afirmaron haber sustraído datos como:
- Documentos internos y confidenciales.
- Información de clientes (no se especificó cantidad de registros).
- Datos financieros: nóminas, presupuestos, IDs fiscales y declaraciones de impuestos.
La banda estableció un plazo de 72 horas para pagar el rescate, bajo amenaza de publicar la información robada. Hasta la fecha de este artículo, MyPillow no ha respondido a las consultas de The Register.
Contexto operativo de Play ransomware
Play es una variante de ransomware detectada por primera vez en junio de 2022, pero su actividad se intensificó en 2023 con ataques a:- Xplain (proveedor de TI del gobierno suizo, en 2023): robó 65.000 archivos de agencias federales.
- Microchip Technology (2024): el fabricante de semiconductores reportó pérdidas de $21.4 millones por incidentes de seguridad asociados al ataque.
- Infraestructura crítica en EE.UU., incluyendo hospitales y gobiernos locales.
Un informe de Cisco Talos de 2024 destacó que Play utiliza herramientas conocidas como «EDR killers» (como Terminator, AVRemover o Backstab) para desactivar productos de seguridad en endpoints antes de ejecutar su payload. Estas herramientas son firmadas digitalmente para evadir detección, lo que las hace especialmente peligrosas en entornos con políticas de confianza por defecto.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para equipos de DevOps y SRE
- Riesgo de interrupción de servicios: Los grupos como Play suelen corromper backups para aumentar la presión por el pago. Equipos de SRE deben verificar la integridad de sus snapshots y mantener backups offline o inmutables.
- Exposición de datos en repositorios: Si los atacantes accedieron a repositorios de código (GitHub, GitLab) o pipelines (Jenkins, GitHub Actions), podrían haber obtenido credenciales hardcodeadas o claves de API. Recomendación: Rotar todas las credenciales expuestas y auditar permisos de CI/CD con herramientas como Gitleaks o Trivy.
- Latencia en recuperación: Play ransomware cifra archivos de forma selectiva (evitando extensiones como
.exeo.dll), lo que puede ralentizar la identificación de archivos críticos. Equipos deben priorizar recuperación por sectores (ej: primero bases de datos, luego archivos de configuración).
Para equipos de Seguridad
- Doble extorsión: El 60% de los ataques de Play incluyen filtración de datos según datos de IBM X-Force (2025). Esto implica que, incluso si se paga el rescate, los atacantes pueden publicar la información o vendérsela a terceros.
- Superficie de ataque ampliada: Los grupos como Play explotan vulnerabilidades no parcheadas en VPNs, firewalls o servidores web. Un informe de CISA de 2025 listó los CVE más explotados por Play:
– CVE-2023-22518 (Atlassian Confluence, CVSS 9.1): Usado para moverse lateralmente en redes.
- Tácticas, técnicas y procedimientos (TTPs) recurrentes:
– Movimiento lateral: Uso de Mimikatz para robar credenciales en memoria.
– Persistencia: Creación de cuentas administrativas con nombres como svc_backup o admin_temp.
Para equipos de Cloud
- Almacenamiento en la nube: Si MyPillow usaba servicios como AWS S3 o Azure Blob, los atacantes podrían haber extraído metadatos (listas de buckets, políticas de acceso) para escalar privilegios. Acciones inmediatas:
– Buscar bucket squatting (creación de buckets con nombres similares a los originales para phishing).
- Contenedores y Kubernetes: Play ransomware puede comprometer clusters si hay imágenes con vulnerabilidades (ej: CVE-2024-21626 en runC). Equipos deben escanear imágenes con Trivy o Clair y aplicar pod security policies en Kubernetes.
Detalles técnicos
Cadena de ataque de Play ransomware (basada en análisis de Cisco Talos y Mandiant)
- Reconocimiento:
– Búsqueda de credenciales expuestas en repositorios públicos (GitHub, Pastebin) con GitHub Dorks.
- Explotación:
– Credenciales por defecto: Ataque a servicios como RDP (puerto 3389) con credenciales como admin:admin o combinaciones comunes.
- Movimiento lateral:
– Robo de tokens de Kerberos con Mimikatz o Rubeus.
- Exfiltración de datos:
-mhe=on para ocultar archivos).– Envío a servidores C2 con DNS tunneling o HTTP/2 para evadir firewalls.
- Cifrado:
– Extensión de archivos cifrados: .play.
Indicadores de compromiso (IOCs) reportados en 2025-2026
| Tipo | Valor | Fuente |
|---|---|---|
| Hash (MD5) | �BLOCK17� (payload de *Play*) | Cisco Talos |
| C2 | �BLOCK18�, �BLOCK19� | Mandiant |
| User Agent | �BLOCK20� | Cisco Talos |
| Archivo malicioso | �BLOCK21� (renombrado), �BLOCK22� | SentinelLabs |
| CVE | Producto afectado | CVSS | Fecha de parcheo | Explotado por Play |
|---|---|---|---|---|
| CVE-2023-46604 | Apache Log4j 2 | 9.8 | 14/12/2021 | Sí |
| CVE-2023-3824 | Progress Telerik UI | 9.8 | 12/07/2023 | Sí |
| CVE-2024-21887 | Ivanti Connect Secure | 9.1 | 29/01/2024 | Sí |
Acciones inmediatas (primeras 24 horas)
- Aislar sistemas comprometidos:
# En Linux
sudo ip link set dev eth0 down
# En Windows
Disable-NetAdapter -Name "Ethernet" -Confirm:$false
– No apagar sistemas: Play ransomware puede dejar triggers de cifrado que se activan al reiniciar.
- Contener la propagación:
# En Active Directory
Remove-ADGroupMember -Identity "Remote Desktop Users" -Members @("usuario1", "usuario2")
– Bloquear IPs de los C2 en firewalls con:
# Ejemplo en iptables
iptables -A INPUT -s 185.143.223.43 -j DROP
- Recopilar evidencias forenses:
# Usando LiME (Linux Memory Extractor)
sudo lime -c /mnt/forensic/memory.dump
– Guardar logs de autenticación (Windows Event ID 4624, 4625) y procesos (Sysmon Event ID 1).
Acciones en las primeras 48-72 horas
- Auditar permisos y credenciales:
– Sistemas críticos (bases de datos, firewalls).
– Cuentas de servicio (ej: svc_backup).
– Usar herramientas como BloodHound para mapear atajos de movimiento lateral.
- Verificar backups:
# Verificar checksums de backups
sha256sum /mnt/backup/mysql/*.sql
– Buscar backups cifrados o corrompidos con:
# Buscar archivos .bak cifrados
find / -name "*.bak" -exec file {} \;
- Aplicar parches críticos:
# En FortiGate
execute update system firmware
# En Ubuntu
sudo apt update && sudo apt upgrade -y
- Implementar controles adicionales:
# Ejemplo en Cisco IOS
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 100
– Habilitar logging avanzado:
# Ejemplo en Windows (Sysmon)
Sysmon -i -n -l -h sha256 -r
Acciones a mediano plazo (1-2 semanas)
- Rediseñar políticas de acceso:
– MFA obligatorio para acceso remoto.
– Just-In-Time (JIT) access con herramientas como Teleport o StrongDM.
– Auditar políticas de IAM en cloud con:
# En AWS
aws iam generate-credential-report
aws iam list-users --query 'Users[?contains(Arn,`MyPillow`)].UserName'
- Capacitar a equipos:
– Realizar ejercicios de ransomware con:
– Entorno de laboratorio: Usar VulnHub o Metasploitable.
– Juegos de guerra: Plataformas como Hack The Box o TryHackMe.
- Revisar contratos con proveedores:
– Incluir penetration testing anual como requisito contractual.
Conclusión
El incidente de MyPillow sirve como recordatorio de que los grupos de ransomware como Play no solo cifran datos, sino que los roban y filtran, multiplicando el impacto de un ataque. Para equipos de DevOps, infraestructura y seguridad, esto implica:
- Revisar backups (¿están cifrados? ¿offline?).
- Auditar permisos (¿hay cuentas con acceso excesivo?).
- Parchear vulnerabilidades críticas (especialmente en VPNs, firewalls y servidores web).
- Capacitar equipos en detección de TTPs de Play (ej: uso de Mimikatz, EDR killers).
La combinación de movimiento lateral rápido, exfiltración de datos sigilosa y doble extorsión convierte a Play en una amenaza persistente. La única defensa efectiva es preparación proactiva: desde segmentación de redes hasta simulacros de ataque. Como demostró el caso de Microchip Technology, el costo de un incidente de ransomware no se limita al rescate, sino a la operatividad, reputación y cumplimiento normativo.
Fuentes
- The Register: MyPillow aparece en el sitio de filtración de Play ransomware
- The Register: Play ransomware explota 900 organizaciones (FBI, 2025)
- Cisco Talos: Análisis de TTPs de Play ransomware (2024)
- IBM X-Force: Doble extorsión en ransomware (2025)
- CISA: Alertas sobre CVE-2023-4966 y CVE-2024-21887