Modelo RaaS y doble extorsión: la mayoría de familias relevantes operan con afiliados. Exfiltran primero (exfiltración de datos), cifran después y publican en "sitios de filtración" cuando no se paga. El ataque mezcla presión operativa y presión reputacional.
Qué es ransomware
El ransomware es un tipo de malware que cifra ficheros, bases de datos, máquinas virtuales e incluso infraestructuras enteras para exigir un pago a cambio de la clave de descifrado. Hoy se presenta casi siempre como doble —a veces triple— extorsión: antes de cifrar, el atacante exfiltra datos y amenaza con publicarlos, y en ocasiones añade presión con DDoS o con contactos directos a clientes, empleados y reguladores. No es un virus aislado: detrás hay un ecosistema criminal profesionalizado, el modelo RaaS (Ransomware-as-a-Service), en el que desarrolladores, afiliados, negociadores y "initial access brokers" reparten funciones y ganancias como si fueran una empresa.
Por qué importa
El coste del rescate es, con frecuencia, la parte menos importante. Lo que hunde a una organización es la parada operativa —fábricas detenidas, servicios sin facturar, hospitales reagendando— y la factura posterior: reconstrucción de infraestructura, honorarios legales y forenses, notificaciones a clientes, sanciones regulatorias, aumento de primas de ciberseguro y pérdida de confianza. En el marco europeo, un incidente con impacto en servicios esenciales activa NIS2 (notificación en 24 horas, informe detallado), RGPD si hay datos personales, DORA en servicios financieros, y ENS en entidades del sector público. Para un CISO, la planificación ya no parte de "¿y si nos pasa?" sino de "¿cuánto tardaremos en detectarlo y contener el alcance cuando pase?". De ahí que las prioridades reales sean copias de seguridad inmutables y probadas, segmentación fuerte, detección en el endpoint y un plan de respuesta a incidentes ensayado.
Puntos clave
Vectores iniciales habituales: phishing con adjuntos o enlaces, servicios expuestos (RDP, VPN sin MFA), vulnerabilidades críticas en perímetro sin parchear y credenciales comprometidas compradas a brokers. Rara vez es el malware el que "entra solo".
Movimiento lateral con herramientas legítimas: una vez dentro, los operadores usan PsExec, PowerShell, WMI, RMM comerciales, Cobalt Strike y credenciales de administrador para propagarse. La detección basada solo en firmas no los ve; hace falta análisis de comportamiento y telemetría EDR correlacionada.
Objetivos prioritarios antes del cifrado: controladores de dominio, servidores de virtualización (ESXi, Hyper-V) y sistemas de backup. Cifrar en la capa de hipervisor apaga cientos de máquinas a la vez; destruir backups antes de cifrar fuerza al pago.
Impacto regulatorio y contractual: obligaciones de notificación a reguladores y clientes, cláusulas de SLA con penalizaciones, auditorías extraordinarias y, en pagos, el ángulo de sanciones internacionales (OFAC, UE) si la familia o el grupo están listados.
Prevención y recuperación se diseñan juntas: backups inmutables (3-2-1-1-0), restauración probada periódicamente, SIEM y EDR capaces de alertar en las fases tempranas, runbooks de aislamiento y un SOC 24x7 que pueda actuar en la ventana en la que todavía se puede contener.
Ejemplo: Ataque de ransomware en una empresa industrial
Una empresa industrial de tamaño medio recibe un correo de supuesto proveedor con una factura adjunta. Un administrativo abre el documento; la macro descarga un loader que establece persistencia y llama a casa. Durante la semana siguiente no pasa nada visible: los atacantes se mueven despacio, obtienen credenciales de un técnico con acceso a varios servidores, localizan el Active Directory, el clúster de virtualización y el servidor de backup. Cuando tienen el mapa completo, exfiltran varios cientos de gigas de documentación técnica y comercial y, en una madrugada de fin de semana, lanzan el cifrado a través de un GPO: hipervisores, ficheros y copias se vuelven ilegibles en paralelo.
La mañana del lunes las líneas de producción no arrancan. El equipo activa el plan de respuesta a incidentes: aislamiento de red, convocatoria del comité de crisis, contacto con el ciberseguro, la Agencia de Protección de Datos y las autoridades competentes por NIS2. La valoración técnica confirma que las copias on-site están cifradas, pero que existe una copia off-site inmutable de dos días antes: se opta por reconstruir desde ahí en lugar de pagar. La operación completa dura más de dos semanas, con producción parcial apoyada en estaciones aisladas, comunicación controlada a clientes y pérdidas económicas materiales; el aprendizaje, sin embargo, es claro: sin esa copia off-site y sin un runbook ensayado, la decisión habría sido mucho peor.
Errores habituales
- Creer que los backups on-premises son suficientes. El ransomware moderno busca específicamente los servidores de copia, las cabinas y las credenciales de la herramienta de backup. Si la copia es accesible desde la red comprometida, probablemente se pierda con el resto. Lo mínimo exigible es una copia off-site, inmutable o WORM, y restauración probada.
- No tener un plan de respuesta escrito ni ensayado. En caliente, sin runbook ni roles predefinidos, se pierden las primeras horas —las más valiosas— discutiendo quién decide, a quién se avisa y cómo se comunica. El plan debe cubrir decisión sobre pago, notificación legal, continuidad y comunicación a clientes y empleados.
- Ignorar las fases tempranas: logins anómalos, creación de cuentas privilegiadas, uso inusual de PsExec o PowerShell, desactivación del antivirus, tráfico saliente sostenido a dominios desconocidos. El cifrado llega al final; el atacante lleva días dentro. Sin SIEM y EDR en modo detección+respuesta esos eventos pasan inadvertidos.
- Resolver el incidente y no tocar las causas. Restaurar desde backup sin rotar credenciales, sin cerrar el acceso inicial (VPN sin MFA, servicio expuesto, credencial filtrada) ni investigar en profundidad es invitar al atacante a volver en semanas, a menudo con la misma familia u otro afiliado del mismo RaaS.
- Confiar exclusivamente en el ciberseguro. Los seguros cubren parte del coste y facilitan acceso a especialistas, pero cada vez exigen más controles previos (MFA, EDR, copias offline, plan de respuesta) y excluyen escenarios específicos. Sin higiene básica el seguro se encarece o deja de renovarse.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Deberíamos pagar el rescate?
La recomendación general es no pagar sin asesoramiento legal, técnico y del ciberseguro. Pagar financia la infraestructura criminal, no garantiza un descifrador funcional ni evita que los datos exfiltrados se publiquen igualmente, y puede infringir normativa de sanciones si el grupo está en listas internacionales (OFAC, UE). Lo razonable es activar el plan de respuesta a incidentes, notificar a las autoridades competentes y al ciberseguro, evaluar la viabilidad de restaurar desde copias inmutables y tomar la decisión sobre pago con un comité de crisis y todo el contexto legal, operativo y reputacional.
¿Por qué se propaga tan rápido de un equipo a toda la red?
Porque usa herramientas legítimas del propio entorno. Una vez obtenidas credenciales privilegiadas, los operadores se apoyan en PowerShell, PsExec, WMI, RMM corporativos o directivas de grupo para desplegarse en minutos sobre cientos de equipos. Si los usuarios tienen permisos administrativos excesivos o el Active Directory no está protegido, la propagación es trivial. Las contramedidas son mínimo privilegio, segmentación de red, tiering administrativo del AD y detección de comportamiento en EDR.
¿Cómo se distingue un ataque de ransomware de otras causas de indisponibilidad?
Un incidente de ransomware suele presentar un patrón claro: cifrado masivo en una ventana corta, cambios de extensión en miles de ficheros, aparición de notas de rescate en múltiples equipos, pérdida simultánea de servicios en hipervisores y copias y comunicaciones de los atacantes por correo, formularios o llamadas. Una corrupción técnica o una avería tiende a ser más gradual y localizada. La confirmación se hace con forense digital: correlacionar timeline, identificar el vector inicial, el dwell time y las técnicas empleadas antes del cifrado.
¿Qué cubre realmente un ciberseguro frente a ransomware?
Depende mucho de la póliza y del mercado. Algunas cubren el pago del rescate, otras lo excluyen explícitamente o lo condicionan; lo habitual es cubrir la respuesta (forense, negociación, abogados, comunicación), la interrupción de negocio hasta ciertos límites y la notificación a afectados. Prácticamente todas exigen hoy controles mínimos —MFA, EDR, copias offline, plan de respuesta, gestión de parches— y pueden rechazar la cobertura si no estaban operativos. Conviene revisar la póliza con el equipo legal y con seguridad para entender qué se cubre, qué se excluye y qué condiciones previas hay que mantener.