Investigadores de ESET Research han identificado un nuevo malware al que han bautizado como HybridPetya, un peligroso ransomware que recuerda al devastador Petya/NotPetya que en 2017 causó pérdidas estimadas en más de 10.000 millones de dólares. La novedad: esta variante es capaz de comprometer sistemas modernos UEFI y aprovechar vulnerabilidades para evadir el Secure Boot, una de las últimas líneas de defensa del arranque seguro en equipos actuales.
Una amenaza que combina lo peor de Petya y NotPetya
Los primeros rastros de HybridPetya aparecieron en VirusTotal en febrero de 2025, subidos desde Polonia. Según explica el investigador de ESET Martin Smolár, los ficheros —con nombres como notpetyanew.exe— mostraban similitudes tanto con el Petya original como con NotPetya.
La diferencia clave es que HybridPetya sí permite descifrar los archivos bajo demanda del atacante, al contrario que NotPetya, que fue diseñado como un wiper sin posibilidad de recuperación. Esto lo acerca más al modelo de ransomware clásico, aunque manteniendo la agresividad y técnicas destructivas de su “hermano mayor”.
El malware cifra la Master File Table (MFT) de los sistemas de archivos NTFS, un fichero crítico que contiene la información de todos los archivos en un disco. Al quedar inutilizada, el sistema operativo es incapaz de acceder a los datos, bloqueando por completo el equipo.
El salto a los sistemas UEFI
Lo que hace de HybridPetya una amenaza distinta es su capacidad de comprometer ordenadores actuales mediante la instalación de una aplicación EFI maliciosa en la partición del sistema EFI (ESP).
Este bootkit le permite ejecutar el cifrado en una fase temprana del arranque, antes de que se cargue el sistema operativo, dejando inservibles los mecanismos de seguridad de Windows y dificultando enormemente las tareas de recuperación.
Uno de los ejemplares analizados incluía además un archivo cloak.dat manipulado que explotaba la vulnerabilidad CVE-2024-7344, un fallo en Secure Boot divulgado a principios de 2025. Gracias a este exploit, HybridPetya puede burlar el arranque seguro en sistemas no actualizados, abriendo la puerta a ataques incluso en equipos modernos que deberían estar protegidos.
¿Prueba de concepto o amenaza inminente?
Por el momento, la telemetría de ESET no ha detectado campañas activas de HybridPetya. Esto hace pensar que pueda tratarse de un proof of concept creado por investigadores o por grupos de ciberdelincuentes en fase de pruebas.
A diferencia de NotPetya, HybridPetya no presenta aún mecanismos de propagación masiva en red, lo que limita su alcance. Sin embargo, el hecho de que incorpore técnicas avanzadas contra UEFI y Secure Boot indica un claro interés de los atacantes en sofisticar el ransomware para futuros escenarios.
Implicaciones y riesgos
El hallazgo de HybridPetya pone de relieve varios puntos críticos para la ciberseguridad actual:
- Evolución del ransomware: la tendencia a dirigirse contra componentes del arranque y el firmware apunta a un salto cualitativo en la dificultad de detección y mitigación.
- Obsolescencia en parches: sistemas que no han aplicado las actualizaciones contra CVE-2024-7344 quedan en riesgo inmediato.
- Ataques dirigidos: aunque no se haya visto en campañas masivas, HybridPetya podría usarse en operaciones quirúrgicas contra infraestructuras críticas o entidades gubernamentales.
Preguntas frecuentes
¿Qué es HybridPetya?
Es un nuevo ransomware descubierto por ESET en 2025 que combina características de Petya y NotPetya, con la capacidad añadida de comprometer sistemas UEFI y evadir Secure Boot.
¿Cómo afecta a los sistemas actuales?
Instala un bootkit en la partición EFI y cifra la Master File Table (MFT) de discos NTFS, impidiendo el acceso a los archivos y bloqueando el sistema operativo.
¿Ya circula en campañas activas?
Por ahora no hay evidencias de uso masivo. Los ejemplares detectados parecen corresponder a pruebas o preparativos de futuros ataques.
¿Cómo protegerse contra HybridPetya?
Aplicar las actualizaciones de seguridad frente a vulnerabilidades UEFI como CVE-2024-7344, mantener copias de seguridad fuera de línea y reforzar las políticas de seguridad en el arranque son medidas clave de prevención.
