La historia de Dragonforce, el grupo que ha hackeado una clínica de Zaragoza: "No se conforman con pedir un rescate"
La organización se dio a conocer a finales de 2023 y se ha redefinido como un cártel para ganar presencia en el campo del 'ransomware'
Fotomontaje de un hacker con uno de los logotipos de Dragonforce, el grupo que ha ciberatacado una clínica de Zaragoza. / EL PERIÓDICO
El nombre de Dragonforce ha salido a la palestra en Aragón los últimos días a raíz del hackeo que este grupo criminal ha perpetrado contra la clínica privada zaragozana Palafox, exponiendo en la dark web hasta 98 gigas de información sensible sobre la empresa y sus pacientes. En ese sentido, Dragonforce es uno de los grupos más peligrosos en el campo del ransomware (secuestro de información), una modalidad en auge y con un aumento del 116% de los ataques en España en 2025.
Contactado por este diario, el hacker ético Vicente Delgado, uno de los mayores expertos en cibercriminalidad del país, intenta arrojar luz sobre las motivaciones y particularidades de esta organización. "Dragonforce se dio a conocer a finales de 2023. En sus primeras fases fue vinculado a actividades de carácter hacktivista (causas políticas y sociales) al compartir nombre con un grupo malasio que es propalestino, pero parecen grupos independientes", comienza detallando Delgado, quien desgrana que poco después, a principios de 2024, Dragonforce ya orientó su actividad hacia operaciones "puramente lucrativas".
Desde ese momento, no han hecho sino crecer hasta convertirse en una organización "altamente estructurada", comparable al de un "cártel del cibercrimen". Su actividad consiste en robar información de los sistemas de sus víctimas y después extorsionarlas. ¿Cómo lo hace? "El grupo ofrece a sus afiliados programas de ransomware altamente personalizables con los que cifrar archivos, bloquear accesos a sistemas o servicios de las víctimas, dejar notas de rescate con instrucciones de pago, descargar archivos antes del cifrado, etc.", explica el hacker, quien además señala que Dragonforce también dispone de un "portal avanzado de gestión de afiliados y una infraestructura compartida para la ejecución de campañas de extorsión y la publicación de filtraciones de datos".
El Periódico de Aragón
La evolución del grupo también la demuestran sus propios recursos. Tal y como narra Delgado, en un principio empleaban variantes creadas con el sistema de otro grupo criminal, pero desde mediados de 2024 Dragonforce cuenta con un sitio de filtraciones de datos propio y ha lanzado un programa de afiliados normal. "Esto último le ha permitido atraer a ciberdelincuentes especializados con la promesa de una automatización total de los ataques y soporte técnico completo, y gracias a ello han incrementado notablemente su actividad en EEUU, Reino Unido y Australia", contextualiza el experto.
Otros ataques
En España, varias cuentas de hackers han presumido en sus redes sociales de otros ciberataques, como el ejecutado contra la clínica Palafox, el que ha afectado a una empresa informática de Terrasa o a un concesionario de Barcelona, entre otros. Entre sus víctimas internacionales, Delgado enumera algunos de los casos más sonados, públicos y privados, como Coca-Cola en Singapur, el Gobierno de Palaos (Oceanía) o el transporte público en Hawái.
Entrada al centro sanitario Palafox, en Zaragoza. / Laura Trives
En el sector sanitario, el centro zaragozano no ha sido su primera víctima. También sustrajeron 22 millones de expedientes médicos del Healthcare Retroactive Audits (EEUU) y más información del Greater Cincinnati Behavorial Health, el proveedor de salud mental más importante del suroeste de Ohio y el norte de Kentucky.
Reestructuración
Sus últimas novedades, a nivel estructural, llegaron hace aproximadamente un año. "Dragonforce se redefinió como un cártel de ransomware, anunciando que invitarían a otras bandas y grupos delictivos a unirse a su coalición, lo que les permitió atacar a grupos rivales y fichar a afiliados de otros", cuenta Vicente Delgado.
Sus extorsiones son "múltiples" para "maximizar la presión sobre sus víctimas". "No se conforman con cifrar los sistemas y pedir un rescate, roban grandes volúmenes de datos confidenciales durante la intrusión y luego amenazan con publicarlos en caso de no pago". "Para ello, el grupo mantiene sitios web ocultos donde exponen a sus víctimas en listados y divulgan porciones de información sustraída a modo de coacción pública, y no dudan en contactar directamente a ejecutivos y personal de la empresa víctima durante sus campañas de chantaje", añade el hacker ético.
Delgado también incide en que, a diferencia de otros grupos silenciosos, Dragonforce ha involucrado en algunos casos a la opinión pública para dar a conocer su ataque. Tras uno de sus casos más populares, contra M&S en el Reino Unido, las autoridades lograron arrestar a cuatro individuos (tres británicos y un letón de entre 17 y 20 años) a los que se acusó de extorsión, blanqueo de dinero o participación en grupo criminal organizado, entre otras.
Suscríbete para seguir leyendo
- El Ayuntamiento de Zaragoza lo confirma y accede a la petición de los barrios sobre la ubicación de la Cincomarzada
- ¿Cómo afecta a los aragoneses el hackeo a Endesa?: la empresa notifica el ataque a los afectados
- Adiós al histórico concesionario de la Opel en Zaragoza: a un paso de su demolición
- De los billetes a las tapas: un antiguo banco se transforma en un nuevo restaurante en el centro de Zaragoza
- Nueva inversión china en Zaragoza: un proveedor de Leapmotor invertirá 24 millones y devolverá la actividad a la antigua planta de Airtex
- Comienza el desmontaje de una de las antenas de telecomunicaciones más antiguas del centro de Zaragoza
- Samantha Vallejo-Nágera sorprende con su visita a un restaurante de barrio de Zaragoza tras su salida de Masterchef: 'Una leyenda de la gastronomía
- De una planta de hidrógeno con 80 millones de euros a un aparcamiento en Tamarite: el Gobierno de Aragón declara de interés cuatro nuevas inversiones
