Cómo llega en realidad el ataque
El 3 de julio de 2026, los investigadores Nevan Beal y Sam Decker de Blackpoint Cyber, junto con Palo Alto Networks Unit 42, revelaron un framework modular hasta entonces desconocido al que llamaron Avalon. No llega como un adjunto evidente. La cadena empieza con un correo que simula un documento legal y dirige al destinatario a un archivo protegido con contraseña alojado en Proton Drive, y el código malicioso viaja dentro de una imagen ISO en lugar de un fichero que la pasarela de correo analizaría.
Al abrir la imagen se monta como una unidad, y un acceso directo de Windows con apariencia de documento ejecuta MSBuild, una herramienta legítima de Microsoft, para cargar código incrustado que primero manipula el registro de eventos de Windows y luego descarga Avalon. Casi todo se ejecuta en memoria y deja poco rastro en disco. La muestra se subió a VirusTotal el 11 de marzo de 2026 y no tuvo ni una sola detección durante unos cuatro meses.
Primero va a por la capa de recuperación
Lo que distingue a Avalon del ransomware corriente es el orden. Antes de cifrar nada, el framework recoge credenciales de navegadores, gestores de contraseñas y perfiles de VPN, SSH y Wi-Fi, y después se mueve lateralmente hacia justo lo que permitiría recuperarse: controladores de dominio, hosts de virtualización como vCenter y Hyper-V, y plataformas de copia como Veeam, Acronis, NetApp y Synology. Por el camino borra las instantáneas de Windows.
Solo cuando la capa de recuperación queda neutralizada, el módulo CrownX cifra los archivos con criptografía autenticada AES-GCM. El framework también trae rutinas propias para esconderse de nueve productos citados por su nombre: Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee y Bitdefender. La tesis incómoda no es que exista otro ransomware; es que este está hecho para que la respuesta habitual, ya restauramos, sea falsa antes incluso de que empiece el cifrado.
Qué cambia para un operador
La lección práctica no depende de qué marca de endpoint uses. Cuando un kit se construye a propósito para cegar nueve de ellas y borrar primero las copias, la detección pasa a ser una capa y no la garantía, y el control que sigue funcionando es una copia que el atacante no pueda alcanzar. Eso significa al menos una copia inmutable o sin conexión que ni un administrador de dominio comprometido pueda borrar, y una restauración que hayas probado de verdad este trimestre y no solo dado por hecho.
Dos detalles suben la apuesta para los operadores europeos. Tres de las nueve herramientas evadidas, Sophos, ESET y Bitdefender, son referencias europeas, así que buena parte de la región usa justo los productos contra los que se afinó este kit. Y los investigadores ven señales de desarrollo asistido por IA, lo que reduce el tiempo y la pericia que un grupo necesita para crear algo tan estratificado, de modo que vendrá más. Bajo NIS2 la responsabilidad de gestionarlo recae en la dirección designada, no solo en el equipo de seguridad.
Leer a continuación: Una sola brecha de proveedor causó la mitad de las víctimas de ransomware en Europa | El riesgo de jailbreak ya tiene una nota de gravedad



