El ransomware es el tipo de malware más destacado y disruptivo que existe actualmente. Un solo ataque puede causar millones de dólares en daños y requerir cientos de horas de recuperación antes de que la víctima pueda volver a usar los dispositivos infectados.
Este artículo es una introducción al ransomware y a los peligros del software de extorsión. Explicamos qué es este malware y cómo funciona, examinamos el panorama actual del ransomware y ofrecemos consejos sobre la mejor manera de contrarrestar esta amenaza cibernética.
- Definición de Ransomware
- El estado actual del ransomware
- ¿Cómo funciona el ransomware?
- ¿Cómo se propaga el ransomware?
- ¿A quién ataca el ransomware?
- ¿Cuántos tipos de ransomware hay?
- ¿Cómo evitar el ransomware?
- Qué hacer en caso de ransomware
- ¿Deberían las empresas pagar el rescate?
- No corras riesgos con el software de extorsión
Definición de Ransomware

El ransomware es un malware en constante evolución que bloquea el acceso a archivos o dispositivos hasta que la víctima paga un rescate. La mayoría del ransomware utiliza el cifrado para hacer que los datos sean inutilizables, lo que permite a los atacantes exigir dinero a cambio de la clave de descifrado. Si la víctima ignora la demanda, el atacante elimina la clave y, como resultado, hace que todos los datos cifrados sean inútiles.
El ransomware puede infectar una sola PC o un dispositivo móvil, pero un ataque también puede afectar a toda una red. El motivo suele ser monetario, pero algunos ataques tienen como objetivo principal sabotear al objetivo. Las consecuencias del ransomware pueden ser devastadoras y provocar:
- Pérdida de datos comerciales y de clientes.
- Repercusiones legales por permitir una violación de datos.
- Tiempo de inactividad prolongado.
- Un impacto en la reputación que lleva a la pérdida de clientes.
- Un costoso proceso de recuperación que lleva semanas restaurar la red a un estado anterior al ataque.
- Daños a largo plazo en la infraestructura.
Las solicitudes de rescate oscilan entre unos pocos cientos de dólares y millones. La mayoría de los atacantes exigen el pago en Bitcoins, una moneda que permite al delincuente permanecer en el anonimato después de recibir el dinero.
Los hackers utilizan el ransomware para atacar a pequeñas y medianas empresas (PYMES), empresas, organizaciones públicas y usuarios individuales. Este tipo de malware también es un peligro para todos los sistemas operativos, incluidos Windows, Linux y Mac. Ningún negocio o sistema está a salvo, por lo que la prevención del ransomware debe ser parte de cada estrategia de ciberseguridad.
El estado actual del ransomware
El ransomware continúa evolucionando a medida que los delincuentes trabajan en nuevas tácticas para explotar los avances en la computación en la nube, la virtualización y la computación perimetral. A continuación se presentan las tendencias más notables que actualmente dan forma al panorama del ransomware:
- Presión sobre los proveedores de servicios gestionados (MSP): Los delincuentes están atacando a los proveedores de servicios gestionados (MSP) más que nunca. La violación de un solo MSP crea una oportunidad para infectar a los clientes y permite a un atacante ir tras múltiples objetivos con una sola violación.
- Mejores defensas: Las empresas están tratando de mantenerse a la vanguardia de los hackers con nuevas tácticas. La heurística mejorada, el análisis del comportamiento y los archivos de cebo están ayudando a las empresas a predecir los ataques en lugar de responder a los peligros.
- Atacando a empresas que trabajan desde casa: Los hackers continúan atacando a los equipos que operan de forma remota. Los empleados que utilizan dispositivos personales para trabajar desde casa son el objetivo principal.
- Enfoque en las industrias en desorden: Los atacantes continúan aprovechándose de los sectores que se vieron afectados por la pandemia. Los centros de salud y educación son los más vulnerables, ya que los delincuentes saben que sus datos son valiosos y probablemente estén mal protegidos.
- Más RaaS que nunca: Ransomware-as-a-Service es un “servicio” basado en suscripción que permite a los hackers utilizar herramientas de terceros para llevar a cabo ataques. Los creadores de herramientas obtienen un porcentaje de cada violación exitosa, mientras que los “clientes” pueden concentrarse por completo en la propagación del malware.
- Amenazas más grandes: El ransomware más prominente en 2021 fueron Conti, Avvadon, REvil (ex Sodinokibi), Netwalker y Babuk. Los vectores de ataque más comunes siguen siendo los correos electrónicos de phishing, las vulnerabilidades de RDP y las debilidades del software.
¿Cómo funciona el ransomware?
Todos los ataques de ransomware comienzan con una infección inicial cuando una carga útil maliciosa ingresa al sistema. Una vez que el programa está dentro del sistema, el ransomware ejecuta un binario malicioso. Dependiendo del tipo de malware, el objetivo de la carga útil es:
- Buscar automáticamente datos de destino (documentos de Microsoft Word, imágenes, bases de datos, etc.) e iniciar el cifrado.
- Conectarse al servidor C&C del hacker y otorgar control directo sobre el sistema.
- Bloquear automáticamente el sistema operativo y el dispositivo.
- Buscar datos valiosos y configurar el proceso de exfiltración.
Una vez que el programa completa su tarea, el usuario pierde el acceso a los archivos o a toda la computadora. El dispositivo muestra un mensaje que explica que el sistema es víctima de ransomware y que la única forma de recuperar el control o recuperar los datos es pagar un rescate. Las dos formas comunes en que los programas muestran este mensaje son:
- Un fondo que cambia a una nota de rescate.
- Archivos de texto dentro de cada directorio cifrado.
Por lo general, cada rescate tiene dos plazos para presionar a la víctima. El primer plazo es cuando el hacker amenaza con duplicar el rescate, mientras que el otro es cuando el atacante planea eliminar la clave de descifrado.
La mayoría del ransomware se basa en el cifrado asimétrico. Este tipo de criptografía utiliza un par de claves únicas para cifrar y descifrar datos. Una clave cifra los archivos de la víctima, y la única forma de recuperar los datos es utilizar la clave almacenada en el servidor del hacker. La mayoría de los programas de ransomware utilizan una clave de descifrado diferente para cada archivo de destino.
Una cadena de eliminación cibernética (cyber kill chain) permite a un equipo de seguridad definir cada paso en un ataque de ransomware y usarlo como una oportunidad para detectar y detener la amenaza.
¿Cómo se propaga el ransomware?
Estos son los métodos más comunes que utilizan los delincuentes para propagar el ransomware:
- Campañas de phishing por correo electrónico que propagan un enlace o archivo adjunto corrupto.
- Un ataque de spear-phishing altamente dirigido.
- Diferentes formas de ingeniería social (cebo, scareware, pretexto, trucos en las redes sociales, etc.).
- Malvertising.
- Kits de explotación en sitios web maliciosos.
- Un gusano personalizado que explota una debilidad del sistema (como una configuración de RDP defectuosa o un fallo debido a una mala administración del servidor).
- Una pieza de hardware infectada (es decir, unidades USB y computadoras portátiles).
- Complementos no deseados durante las descargas.
La mayoría del ransomware de primer nivel puede propagarse a través de la red después de infectar a la víctima inicial. En muchos casos, el dispositivo infectado es un punto final y no el objetivo del ataque. Los objetivos típicos son las bases de datos y los servidores, por lo que la mayoría de los programas utilizan mecanismos de autopropagación para extenderse a otros sistemas.
¿A quién ataca el ransomware?

Los delincuentes de ransomware atacan a cualquiera que puedan, pero sus objetivos principales son las empresas que parecen dispuestas a pagar un rescate considerable rápidamente. La mayoría de los ataques van tras víctimas que:
- Conservan datos valiosos de clientes (por ejemplo, bancos o bufetes de abogados).
- Requieren acceso inmediato a archivos (hospitales y clínicas).
- Tienen datos irremplazables (organismos gubernamentales).
- Contienen un equipo de seguridad con poco personal (instituciones públicas y PYMES).
- Tienen una base de usuarios dispar y una gran cantidad de intercambio de archivos (universidades).
No te sientas seguro si tu negocio no se encuentra dentro de estos criterios. Los delincuentes son oportunistas y no perderán la oportunidad de atacar a cualquiera que sea vulnerable. Además, algunos ransomware se propagan automáticamente a través de Internet, por lo que todas las empresas son un objetivo potencial independientemente del tamaño, la industria o el nivel de ingresos.
Lee también: Grupos de Ransomware: ¿Quiénes son y Cómo Ganan Millones?
¿Cuántos tipos de ransomware hay?
Si bien todos los programas de ransomware siguen un esquema similar, existen dos tipos principales de estos ciberataques:
- Ransomware de bloqueo (bloqueo de computadora): Un tipo de malware que bloquea a los usuarios de su dispositivo e impide que la computadora arranque. Por lo general, el sistema bloqueado permite un acceso limitado para que la víctima pueda interactuar con el hacker.
- Ransomware criptográfico (bloqueo de datos): Un ataque que cifra datos valiosos sin bloquear al usuario del dispositivo. Los objetivos habituales son datos financieros, información privada de clientes, grandes proyectos de trabajo, fotos, información fiscal, videos, etc.
El ransomware de bloqueo es el tipo menos peligroso, ya que estos ataques no se mueven por la red ni corrompen archivos. Este malware también es más fácil de eliminar sin pagar el rescate, por lo que los hackers de bloqueo a menudo actúan como agentes de policía para presionar a la víctima a pagar rápidamente.
Cuando las empresas comenzaron a depender de mejores copias de seguridad de datos, los delincuentes comenzaron a trabajar en una nueva variante de ransomware. Un ataque de Doxware busca exfiltrar datos del sistema de destino. Si el programa roba los datos, el atacante exige un rescate con la amenaza de filtrar archivos o venderlos al mejor postor.
Algunos programas pueden primero exfiltrar los datos y luego cifrar los archivos. Una combinación de capacidades criptográficas y Doxware permite a un atacante utilizar ambas tácticas de extorsión.
¿Cómo evitar el ransomware?
El ransomware puede ser difícil de detener, pero una combinación de conciencia de los empleados, planificación de respuesta proactiva e higiene de seguridad básica puede ayudar. A continuación, se presentan las mejores prácticas que cada empresa debe implementar para protegerse contra el ransomware:
- Mantén los dispositivos y sistemas actualizados con los últimos parches de seguridad.
- Asegúrate de que el equipo utilice prácticas sólidas de seguridad del correo electrónico.
- Organiza una capacitación de concientización sobre seguridad para garantizar que el equipo sepa cómo funciona el ransomware.
- Utiliza la segmentación de red para evitar el movimiento lateral entre sistemas.
- Asegúrate de que los empleados sepan cómo usar soluciones antimalware y antivirus.
- Haz hincapié en la importancia de la navegación segura para evitar anuncios maliciosos y descargas no deseadas.
- Mejora la seguridad general de la red.
- Confía en las políticas de confianza cero y la autenticación multifactorial para proteger sistemas y bases de datos vitales.
- Monitorea la actividad de la red en busca de comportamientos sospechosos.
- Asegúrate de que los puntos finales no se conviertan en un punto de entrada con actualizaciones periódicas y monitoreo del tráfico.
- Crea un plan de respuesta a incidentes.
La mejor manera de minimizar la amenaza del ransomware es utilizar copias de seguridad inmutables. Este tipo de copia de seguridad es inmodificable, por lo que los intrusos no pueden cifrar, eliminar o alterar la información. Realiza copias de seguridad de los datos varias veces al día para minimizar el riesgo de pérdida de datos si se produce un ataque de ransomware.
Qué hacer en caso de ransomware
Incluso la mejor protección contra ransomware a veces no es suficiente para evitar un ataque. Si sufres un ataque, sigue los pasos a continuación para minimizar los daños y volver rápidamente a la normalidad:
- Aisla el problema. Desconecta el dispositivo infectado y apaga la red. Es probable que el programa esté buscando otros dispositivos y unidades, por lo que elimina la posibilidad de movimiento lateral.
- Evalúa el daño. Examina cada dispositivo sospechoso. Busca datos cifrados, archivos con extensiones extrañas e informes de usuarios que tienen problemas para abrir archivos. Haz una lista de todos los sistemas afectados, incluidos dispositivos de red, almacenamiento en la nube, discos duros externos, computadoras portátiles, PC, dispositivos portátiles, etc.
- Localiza al paciente cero. Debes identificar la fuente del ataque. Busca alertas de tus programas antivirus y antimalware, sistema EDR y plataforma de monitoreo.
- Identifica el ransomware. Debes determinar el tipo de ransomware que atacó a tu empresa. La mayoría de las notas de rescate revelan al atacante, pero también puedes escribir el texto del mensaje en un motor de búsqueda e identificar al atacante de esa manera.
- Contacta a las autoridades. La policía puede ayudar a identificar al atacante, además de que también existe la posibilidad de que los agentes tengan la clave de descifrado para el ransomware en cuestión.
- Utiliza copias de seguridad para restaurar los datos. Restaura cada sistema infectado desde una copia de seguridad. Si tienes copias de seguridad inmutables, el ataque no pudo afectar el archivo de copia de seguridad, por lo que restaura cada dispositivo al último estado seguro. Luego, utiliza una solución antimalware para escanear los dispositivos en busca de puertas traseras.
Si no tienes una copia de seguridad viable y la policía no posee la clave de descifrado, tus opciones son pagar el rescate o aceptar las pérdidas. Sin embargo, pagar el rescate puede no ser la mejor idea, como explicamos a continuación.
¿Deberían las empresas pagar el rescate?
Si una empresa no tiene una copia de seguridad de datos y se enfrenta a semanas o meses de recuperación, pagar el rescate es tentador. Sin embargo, considera lo siguiente antes de tomar la decisión:
- Existe la posibilidad de que nunca obtengas la clave de descifrado. Muchas víctimas han pagado el rescate solo para no recibir nada a cambio.
- La clave de descifrado puede no funcionar. Los creadores de ransomware no se dedican a la recuperación de archivos, por lo que los delincuentes no dedican mucho tiempo a garantizar que el descifrado funcione.
- Tus archivos pueden estar demasiado dañados. Algunos programas de ransomware corrompen los archivos más allá de la reparación para garantizar que el cifrado se realice lo más rápido posible. Si ese es el caso, ni siquiera una clave de descifrado podrá restaurar los archivos.
- Te conviertes en un objetivo valioso. Una empresa con un historial de pago de rescate es un objetivo atractivo para un nuevo ataque. El mismo equipo puede atacar de nuevo en el futuro o informar a sus colegas sobre qué empresas están dispuestas a cumplir con las demandas.
- Los delincuentes aún pueden filtrar tus datos. Si los atacantes exfiltran tus datos, nada puede impedirles vender los datos al mejor postor, incluso si pagas el rescate.
En lugar de sopesar si pagar el rescate es o no el movimiento correcto, asegúrate de que tu empresa pueda manejar un ataque de ransomware. Con las precauciones y copias de seguridad adecuadas, nunca estarás en una posición en la que debas considerar pagar el rescate.
No corras riesgos con el software de extorsión
La mejor manera de contrarrestar el ransomware es establecer tácticas de prevención sólidas respaldadas por un plan de respuesta bien engrasado. Utiliza este artículo para educar a tu equipo sobre la amenaza y establecer precauciones que garanticen que puedas prevenir y recuperarte de forma confiable de un ataque de ransomware. Además, obtén más información sobre las diferencias entre Malware y Ransomware y cómo funcionan en nuestra guía detallada.
Pingback: ¿Qué es la Inyección SQL (SQLi)? » CyberMentor
Pingback: Ataques de Phishing: Cómo Identificarlos y Prevenirlos » CM
Pingback: ¿Qué es una Cyber Kill Chain? » CyberMentor