El ransomware se ha consolidado como una de las amenazas más críticas para la continuidad operativa de las organizaciones. Este tipo de ataque, que también afecta a usuarios individuales, genera pérdidas millonarias y evoluciona con rapidez, aprovechando vulnerabilidades técnicas y humanas. Para proteger activos estratégicos y garantizar la resiliencia del negocio, resulta imprescindible implementar estrategias avanzadas de ciberseguridad para prevenir ataques de malware.
Uno de los métodos más efectivos para reducir el riesgo de infección es el uso de herramientas de protección contra virus y ransomware, capaces de detectar y bloquear archivos maliciosos antes de que comprometan la integridad de los sistemas corporativos.
Sin embargo, el ransomware se suele disfrazar de software legítimo o se propaga a través de un troyano diseñado para robar credenciales y distribuir malware, lo que hace que la prevención sea un desafío constante.
Además, algunas variantes pueden llegar al sistema a través de publicidad maliciosa, un fenómeno conocido como adware, que instala amenazas ocultas sin consentimiento, expone a las víctimas a descargas automáticas de archivos dañinos.
Índice de temas
Qué es el ransomware: significado
La palabra ransomware define a un tipo de malware que bloquea el acceso a los datos de los dispositivos infectados y exige un rescate —ransom, en inglés— para recuperarlos Técnicamente, son caballos de Troya con un único objetivo: extorsionar al usuario al impedirle usar sus archivos.
En lugar del fondo habitual, en la pantalla aparece un aviso que simula provenir de la policía o de otra autoridad de seguridad, con una supuesta propuesta.
Ofrece una contraseña para desbloquear todo el contenido, pero a cambio exige una suma considerable. Hasta hace algunos años, el rescate solía ser inferior a los US$ 1.000, aunque en el último tiempo esa cifra llegó a millones. La mayoría de las veces, el pago se solicita en criptomonedas como Bitcoin, aunque no se limita a esa.
Por eso, el ransomware se detecta casi de inmediato, ya que el objetivo de los ciberdelincuentes es obtener dinero. A diferencia de este tipo de ataques, las amenazas persistentes avanzadas (APT, por sus siglas en inglés) apuntan a mantenerse dentro del sistema el mayor tiempo posible sin ser descubiertas.
¿Cómo pagar el rescate?
Detrás de la industria del ransomware no hay simples hackers: existen verdaderas organizaciones criminales que alcanzaron un alto nivel de eficacia y organización. Así, después de cifrar todos nuestros archivos, harán aparecer una pantalla en el dispositivo atacado donde se dan instrucciones detalladas para pagar el rescate. Normalmente, a través de la red TOR (es decir, en la Dark Web).
Y como una buena atención al cliente es la base de cualquier negocio de éxito, algunos atacantes se dotaron de chats en tiempo real. Como pagar el rescate puede no ser fácil, los ciberdelincuentes suelen ofrecer un servicio de “atención al cliente”, con instrucciones sobre cómo realizar el pago y, a veces, con un espacio para negociar el precio a pagar.
Cómo atrapar el ransomware
Los correos electrónicos de suplantación de identidad (que nos invitan a hacer clic en un determinado enlace o a descargar un determinado archivo) siguen siendo la modalidad más extendida, ya que se aprovechan de la falta de atención y conciencia de los usuarios.
A veces, el mensaje de correo electrónico se disfraza para que parezca enviado por alguien de confianza, por ejemplo, un compañero de trabajo (con la técnica conocida como “spoofing”). En otros casos, los ciberdelincuentes se aprovechan de las vulnerabilidades de varios programas, como Java o de diferentes sistemas operativos.
En este último caso, el software malicioso se propaga de forma autónoma sin que el usuario tenga que realizar ninguna acción.
Los vectores de infección utilizados por el ransomware son esencialmente los mismos que los utilizados por otros tipos de ataques de malware:
Correos electrónicos de phishing
El más extendido, porque desgraciadamente todavía funciona muy bien, son los correos electrónicos de phishing. De acuerdo con el informe Phishing Threat Trends Report 2025 de KnowBe4, entre el 15 de septiembre de 2024 y el 14 de febrero de 2025 hubo un aumento del 17,3% en este tipo de ransomware en comparación con los seis meses anteriores.
Se trata de una técnica que aprovecha la ingeniería social. A todos nos habrá ocurrido recibir correos electrónicos con facturas falsas adjuntas, y este es un ejemplo de correo electrónico de phishing. Hacer clic en sus archivos adjuntos o en sus enlaces permite que se infiltre el malware.
“De cara al 2025, tanto las amenazas como las defensas contra el phishing seguirán evolucionando, lo que hará hincapié en un enfoque holístico que integre las defensas técnicas con la gestión de riesgos humanos. Una sólida cultura de seguridad comienza con la detección, pero se refuerza con la concienciación, la formación continua y la tecnología adaptativa”, afirmó Jack Chapman, vicepresidente sénior de inteligencia de amenazas en KnowBe4.
Drive – by downloading
A través de la navegación en sitios comprometidos: la llamada “drive-by downloading” (literalmente: descarga sin saberlo) desde sitios en los que se introdujeron kits de explotación de vulnerabilidades en los navegadores, Java u otros, por parte de atacantes que consiguieron hackear el sitio o que crearon a propósito sitios falsos similares a otros más conocidos.
Los ciberdelincuentes comprometen e infectan (con JavaScript, HTML, exploits) los sitios visitados por las víctimas potenciales.
En este caso, el escenario cambia, ya que es la víctima la que acude al sitio infectado y no el atacante el que solicita la visita a través de un correo electrónico. Aparecen, por ejemplo, en forma de banners o botones que nos invitan a hacer clic. A continuación, se nos dirigirá a sitios maliciosos, diferentes del original, donde tendrá lugar la descarga del malware.
Memoria USB con software malicioso
Utilizando un medio extraíble, por ejemplo, una memoria USB que contenga el software malicioso. Esta técnica se denomina “baiting” y, al igual que los correos electrónicos de phishing, se aprovecha del factor humano y de la curiosidad de la gente.
Básicamente, un medio de almacenamiento, como una memoria USB o un disco duro, que contiene software malicioso (que se activará en cuanto el objeto se conecte al ordenador) se deja sin vigilancia en un lugar común (entrada de la empresa, cantina, aparcamiento, etc.). Y la curiosidad humana hace que en muchos casos este cebo (anzuelo) funcione y la persona introduzca la unidad flash desconocida en su ordenador.
Dentro de otros programas que se descargan
Por ejemplo, programas gratuitos que prometen “crackear” programas caros (sobre todo videojuegos) para poder utilizarlos sin pagar. Es una práctica que se volvió muy peligrosa hoy en día, ya que el crack que vamos a descargar será un ejecutable (.exe) dentro del cual también podría haber una desagradable sorpresa.
Ataques a través del escritorio remoto
Remote Desktop Protocol, normalmente situado en el puerto 3389. Son ataques que implican el robo de credenciales (para acceder a los servidores a través de RDP y tomar el control de los mismos. Los ordenadores y servidores con RDP activo y expuesto en la red son objeto de ataques destinados a obtener las credenciales de acceso (normalmente con ataques de fuerza bruta).
Una vez conseguido el acceso al sistema, el ciberdelincuente puede realizar diversas operaciones, como el robo de credenciales y datos y, por supuesto, la inyección de ransomware.
A través de la explotación de vulnerabilidades
Citemos solo dos casos muy famosos: el famoso WannaCry de mayo de 2017 (que utilizó una vulnerabilidad en el protocolo Windows Server Message Block versión 1.0 (SMBv1)) y el ataque de marzo de 2021 que utilizó vulnerabilidades en Microsoft Exchange Server (el software que las empresas y organizaciones de todo el mundo utilizan para gestionar los correos electrónicos y los calendarios) para distribuir ransomware después de que los servidores se vieran comprometidos.
Microsoft asignó a esta nueva familia de ransomware el nombre de Win32/DoejoCrypt.A. (o más simplemente, DearCry). El ataque parece haber sido iniciado por un grupo cibercriminal chino llamado Hafnium y aprovecha las vulnerabilidades de día cero de Microsoft Exchange para infiltrarse en los servidores Exchange locales de las víctimas, accediendo a los buzones de la empresa para robar su contenido e inyectar malware.
PC Cyborg: el primer ransomware de la historia
Corría el año 1989 cuando debutó el que se considera el primer ransomware de la historia. Bautizado como “PC Cyborg”, porque los pagos se dirigían a una ficticia “PC Cyborg Corporation”, el malware bloqueaba el funcionamiento de la computadora justificándolo por la supuesta “caducidad de la licencia de un software no especificado”. Exigió US$ 189 para que todo volviera a la normalidad. Fue realizado por Joseph Popp. Se propagó en un congreso sobre el sida, mediante disquetes infectados que se entregaron a los participantes: al insertar el disquete, el virus se instalaba y encriptaba los archivos.
Este ransomware tuvo una propagación extremadamente limitada, ya que pocas personas utilizaban ordenadores personales. Internet era una red solo para usuarios internos (por lo que se transmitía a través de disquetes), la tecnología de encriptación era limitada y los pagos internacionales eran mucho más engorrosos.
Desde entonces, estos virus avanzaron mucho. Se volvieron cada vez más sofisticados: las claves criptográficas utilizadas son cada vez más difíciles de descifrar, y el mensaje que nos avisa de que el PC está bloqueado aparece en el idioma de la víctima, gracias a técnicas comparables a la geolocalización.
Ransomware: un poco de historia y evolución de los virus ransomware
Tras el breve paréntesis de 1989, la explosión del ransomware comenzó en 2012 y no se detuvo desde entonces. Según el informe Global Cybersecurity Outlook 2025 del Foro Económico Mundial, el 45% de los ejecutivos considera el ransomware como el principal riesgo cibernético para sus organizaciones.
Echemos un vistazo a la historia del ransomware más popular:
| Nombre | Año de aparición | Efectos |
| CryptoLocker | 2013 | Cifraba archivos mediante RSA y exigía pagos en Bitcoin; propagado por correos de phishing. |
| CryptoWall | 2014 | Usaba cifrado RSA-2048; se distribuía por correos de phishing, anuncios maliciosos y sitios comprometidos. |
| CTB-Locker | 2014 | Utilizaba cifrado Curve, se propagaba por spam; notable por su uso de Tor y pagos en Bitcoin. |
| TorrentLocker | 2014 | Cifraba archivos con AES; se propagaba mediante phishing y recopilaba contactos de email. |
| Ransom32 | 2015 | Primer ransomware basado en JavaScript; ofrecido como ransomware-as-a-service vía red Tor. |
| TeslaCrypt | 2015 | Apuntaba a archivos de videojuegos; clave maestra liberada por los autores en 2016. |
| Locky | 2016 | Se propagaba mediante macros maliciosas en Word; cifraba archivos y pedía rescate en Bitcoin. |
| CryptXXX | 2016 | Distribuido por el exploit kit Angler; cifraba archivos y robaba credenciales del navegador. |
| Petya | 2016 | Sobrescribía el MBR; impedía el arranque de Windows y pedía rescate para restaurar acceso. |
| Cerber | 2016 | Cifraba más de 400 tipos de archivos; operaba como ransomware-as-a-service. |
| PokemonGo | 2016 | Se hacía pasar por Pokémon Go; cifraba archivos y creaba cuentas ocultas. |
| Palomitas | 2016 | Permitía pagar el rescate o difundir el ransomware para obtener la clave de descifrado. |
| WannaCry | 2017 | Explotaba vulnerabilidad SMBv1; infectó 230.000 equipos en 150 países. |
| NotPetya | 2017 | Buscaba destruir datos más que rescate; causó miles de millones en daños a empresas globales. |
| Bad Rabbit | 2017 | Propagado por actualizaciones falsas de Flash; afectó a medios de Europa del Este. |
| GandCrab | 2018 | Distribuido como ransomware-as-a-service; evasivo y con múltiples versiones. |
| Ryuk | 2018 | Apuntaba a gobiernos y grandes empresas; exigía rescates altos; se propagaba con Emotet. |
| LockerGoga | 2019 | Afectó a industrias como Norsk Hydro; bloqueaba sistemas y redes completas. |
| Anatova | 2019 | Modular y difícil de detectar; apuntaba a archivos críticos y se propagaba por redes P2P. |
| MegaCortex | 2019 | Usaba scripts automatizados para cifrar; apuntaba a empresas y pedía rescates elevados. |
| Maze | 2019 | Inició la doble extorsión: cifrado y amenaza de filtrar datos robados si no se pagaba. |
| Clop (Cl0p) | 2019 | Ataques de exfiltración de datos; incidente MOVEit en 2023 afectó a múltiples organizaciones. |
| LockBit | 2019 | Ransomware-as-a-service; desmantelado en 2024 tras miles de ataques globales. |
| Scattered Spider | 2022 | Vinculado a ataques a Marks & Spencer en 2025; comprometió datos de clientes. |
| Medusa | 2023 | Ataques a infraestructura crítica y gobiernos; usa doble extorsión y ataques a la cadena de suministro. |
| Rhysida | 2023 | Célebre por el ataque a la Biblioteca Británica; comprometió servicios y datos de empleados. |
| RansomHub | 2024 | Una de las variantes más activas de 2025; lidera en víctimas en sitios de filtración. |
| Chaos | 2024 | Utilizado en ataque a Berkeley Research Group; expuso información sobre casos de abuso. |
| DragonForce | 2024 | Colaboró con Scattered Spider en ataques a Harrods y M&S; causó interrupciones significativas. |
Tipos y ejemplos de ransomware
CryptoLocker – TorrentLocker
En 2017, dos ransomwares ocuparon muchos titulares. El primero es CryptoLocker, un troyano que apareció en 2013 y se perfeccionó con el paso del tiempo, que infecta ordenadores con Windows. A través del método de camuflaje, se presenta como un archivo adjunto de tipo ZIP que contiene un archivo ejecutable.
El archivo no es visible como ‘.exe’ porque el atacante aprovecha el hecho de que los sistemas Windows no muestran las extensiones de los archivos por defecto. Un contenido creado de esta manera se muestra como ‘.pdf’, a pesar de ser un ejecutable, induciendo a los usuarios a abrirlo y ejecutarlo.
Una vez instalado, el malware comienza a cifrar los archivos del disco duro y los recursos compartidos de red asignados localmente con la clave pública y guarda cada archivo cifrado en una clave del registro.
Es famoso hasta el punto de que “Cryptolocker” se utiliza a veces para definir el ransomware. Aparecido en septiembre de 2013, cifra los archivos con la extensión .encrypted, utilizando un algoritmo “fuerte” como el AES (Advanced Encryption Standard).
CryptoWall
Apareció en abril de 2014. La extensión del archivo es variada, utiliza el algoritmo (de doble clave o asimétrico) RSA-2048 y exige un rescate de US$ 500/1000 (en Bitcoin).
CTB-Locker (Curve Tor Bitcoin Locker)
Fue uno de los más populares a partir de julio de 2014. Utiliza una extensión causal, pero de 7 caracteres, con encriptación AES y un rescate de 1-2 bitcoins, obviamente a pagar a través de la red TOR.
TeslaCrypt
Apareció en febrero de 2014, desde la versión 1.0 llegó hasta la versión 4.0. Luego, en mayo de 2016, los autores publicaron la Llave Maestra y cerraron el proyecto. Pero hasta ese momento era el de mayor volumen de negocio: en los primeros 5 meses de 2016 tuvo una prevalencia del 35% de todo el ransomware. Utilizaba el algoritmo AES con peticiones de rescate de 500/1000 dólares.
Locky
Apareció en febrero de 2016, normalmente a través de macros en archivos de Word. Utilizaba un cifrado doble: el algoritmo RSA-2048 (de doble clave o asimétrico) y el algoritmo simétrico AES-128. Exigía un rescate de 0,5-1 Bitcoin.
Petya/NotPetya
Petya/NotPetya es un ransomware del que se crearon versiones: la primera es Petya, mientras que la segunda es NotPetya. Los vemos en detalle a continuación.
Petya
La primera versión en pantalla roja data de marzo de 2016. Luego siguieron las versiones: Petya.B (pantalla verde) en mayo de 2016, Petya.C (todavía verde) en julio de 2016, y Petya.D ‘GoldenEye’ (pantalla amarilla) en diciembre de 2016.
Además de encriptar los archivos, también encriptó (este es el primer caso) el Master Boot Record (MBR) del disco, haciendo imposible incluso el arranque del ordenador, con el algoritmo Salsa20. La demanda de rescate fue de 0,99 Bitcoin. Se dirigía principalmente a usuarios corporativos, ya que se distribuía a través de correos electrónicos de spam que simulaban contener solicitudes de empleo.
NotPetya (o EternalPetya)
Explotó de forma violenta el martes 27 de junio de 2017. Aprovecha, al igual que WannaCry, la vulnerabilidad SMB de Windows y el exploit creado por la NSA (EternalBlue) para propagarse en las redes corporativas. La demanda de rescate es de US$ 300.
Se cree que es el ciberataque más destructivo de la historia y parece haberse originado en Rusia. Entre los afectados se encuentran el gigante naviero danés Moller-Maersk, que reclama daños por valor de entre US$ 250 y 300 millones; Merck (sector farmacéutico), que sufre interrupciones en sus operaciones a nivel mundial: Reckitt Benckiser, que reclama pérdidas de ventas por valor de unos 110 millones de libras esterlinas; TNT Express (daños por valor de US$ 300 millones); la multinacional alimentaria Mondelēz International, que vio bloqueados 1.700 servidores y 24.000 ordenadores (daños por valor de US$ 84 millones).
Pop Corn
Apareció a finales de 2016 y tiene una característica que demuestra la evolución del “marketing” del ransomware. Básicamente, para recuperar los archivos de uno (la petición de rescate es de 1 bitcoin y hay 6 días para pagar) se “aconseja” enviar un enlace infectado a otras personas: si al menos dos pagan, “se recuperan los archivos gratis”. ¡Una verdadera incitación a cometer un delito! Los ciberdelincuentes afirman ser “estudiantes sirios” y dicen que lo hacen para comprar “alimentos y medicinas”.
WannaCry
Otro ataque que ocupó los titulares internacionales se llama WannaCry. El 12 de mayo de 2017, el virus se cebó con ordenadores de medio mundo, gracias a un fallo encontrado en el servidor SMB de Windows: un “agujero” conocido y también ya “tapado” por la compañía de Redmond con un supuesto parche, el número MS17-010. Por tanto, los ordenadores infectados no habían instalado la última actualización.
Muchos investigadores del sector consideraron WannaCry “un ataque de proporciones sin precedentes”. Kaspersky Lab, un nombre distinguido en el mundo de la seguridad informática, registró más de 45.000 ataques en 74 países, entre ellos Rusia, China, Italia, India, Egipto y Ucrania, pero hay quienes elevan las estimaciones a 150 países. Europol, la agencia de la Unión Europea dedicada a la lucha contra el crimen, habló de “un ataque sin precedentes que requiere una investigación internacional”.
Uno de los países más afectados, en cuanto a consecuencias, fue el Reino Unido, donde el “golpe” cibernético paralizó 25 hospitales, sumiendo al sistema sanitario británico (NHS) en una crisis.
SamSam
Apareció en 2016, con varias versiones, probablemente de Irán. Muchos atentados selectivos en Estados Unidos (Atlanta, el hospital Hancock Health, etc.), con rescates que a menudo superan los US$ 50.000. En lugar de las técnicas de phishing, utiliza el protocolo de escritorio remoto (RDP). En la versión 3, la nota de rescate se llama SORRY-FOR-FILES.html. Recaudó más de US$ 6 millones.
Bad Rabbit
Apareció en octubre de 2017. Disfrazado como un instalador de Adobe Flash, Bad Rabbit se propaga a través de “drive-by downloads” en sitios web comprometidos. De esta forma, cifra los archivos y los discos duros.
GandCrab
Es un ransomware multimillonario que apareció a principios de 2018. Aprovecha las macros de Microsoft Office, VBScript y PowerShell para evitar su detección y utiliza un modelo de ransomware como servicio (RaaS). Europol y Bitdefender encontraron el desencriptador y GanCrab fue desactivado, aunque reapareció como REvil.
Ryuk
El ransomware Ryuk fue responsable de más de un tercio de todos los ataques de ransomware en 2020, con una recaudación estimada de US$ 150 millones. Aparecido en agosto de 2018, se atribuye al grupo de hackers de habla rusa Wizard Spider.
Se infiltra a través de correos electrónicos de phishing con archivos adjuntos que contienen macros maliciosas y utiliza malware como Trickbot, BazaLoader y Emotet como droppers. Se centra principalmente en objetivos importantes: grandes empresas, hospitales, municipios y organizaciones gubernamentales/militares, principalmente en Estados Unidos, pero también en el Reino Unido y Canadá.
Exige un rescate elevado, normalmente de millones (de 15 a 50 bitcoins). En la mayoría de los casos, estos pagos se comunicaban mediante una cuenta de ProtonMail y se solicitaban en forma de bitcoins. Dispone de un cifrado fuerte (RSA4096 y AES-256) para el que no se encontró ningún descifrador.
Maze
Se detectó por primera vez alrededor de mayo de 2019 y aumentó exponencialmente su actividad a principios de 2020. Utilización de documentos de suplantación de identidad de Microsoft Word y Excel con macros.
A finales de 2020, Maze comenzó a entregar su carga útil de ransomware desde dentro de una máquina virtual (VM) como medio para evadir la detección. Esta innovadora técnica se observó por primera vez en RagnarLocker y permite al ransomware distribuirse como una máquina virtual en casi cualquier dispositivo que infecte.
En 2020, las demandas de rescate de Maze alcanzaron una media de US$ 4,8 millones, un aumento significativo respecto a la demanda media de rescate de US$ 847.344 para todas las familias de ransomware en 2020. La comunicación directa con los actores tuvo lugar a través de un sitio web de Tor.
En noviembre de 2020, los actores de Maze anunciaron su retirada de la escena del ransomware. Sin embargo, lo más probable es que el grupo simplemente se haya dividido en grupos más pequeños, incluyendo el ransomware Egregor, que comenzó a surgir poco antes de este anuncio. Estas acciones siguen un patrón similar al del grupo de ransomware GandCrab.
Maze fue el “pionero” de la doble extorsión, que posteriormente también utilizaron muchos otros ransomware como NetWalker (uno de los más activos), RagnarLocker, DoppelPaymer y Sodinokibi (alias REvil).
La doble extorsión es una técnica especialmente retorcida para obligar a la víctima a pagar el rescate, incluso si la víctima tiene una copia de seguridad utilizable. La amenaza utilizada es exponer los datos -que fueron extraídos antes del cifrado- en un sitio público o en la web oscura. Es probable que esto tenga un fuerte impacto en la empresa atacada, que se verá obligada a informar de una violación de datos, con todas las implicaciones también para el GDPR.
El primer caso conocido de doble extorsión por parte de Maze se remonta a 2019: Allied Universal, una gran empresa de seguridad estadounidense, fue atacada. Cuando las víctimas se negaron a pagar un rescate de 300 Bitcoins (unos US$ 2,3 millones), los atacantes amenazaron con utilizar la información sensible extraída de los sistemas de Allied Universal, así como los correos electrónicos y los certificados de dominio robados para una campaña de spam que suplantara a Allied Universal.
Para probar su punto, los ciberdelincuentes de Maze publicaron una muestra de los archivos robados, incluyendo contratos, registros médicos, certificados de encriptación y más. En una publicación posterior en un foro de hacking ruso, los atacantes incluyeron un enlace a lo que, según ellos, era el 10% de la información robada y una nueva petición de rescate un 50% mayor.
Clop (Cl0p)
El ransomware Clop (o Cl0p) surgió en 2019 como parte de una operación de ransomware-as-a-service (RaaS) operada por el grupo FIN11, una rama del colectivo cibercriminal TA505. Aunque su actividad comenzó antes de 2020, ganó notoriedad mundial a partir de 2021 por su uso en ataques de doble extorsión, en los que cifraba archivos y robaba información sensible para presionar a las víctimas.
Uno de sus ataques más resonantes fue el incidente de MOVEit Transfer en 2023, donde explotó una vulnerabilidad de día cero en el software de transferencia de archivos utilizado por gobiernos y empresas globales. Esta campaña afectó a decenas de organismos públicos y privados, incluyendo universidades, bancos y agencias federales, dejando expuestos millones de datos. Clop se caracteriza por operar con sofisticación técnica y por negociar los rescates a través de su portal en la dark web.
LockBit
LockBit se consolidó como el grupo de ransomware más activo del mundo y tuvo miles de víctimas en distintos sectores: salud, transporte, servicios financieros y gobiernos. Se trata de un modelo RaaS, es decir, ofrece el malware a afiliados que lo operan en campañas personalizadas.
LockBit evolucionó en versiones cada vez más sofisticadas: LockBit 2.0, 3.0 (conocido como “LockBit Black”) y otras variantes.
En febrero de 2024, fuerzas policiales de Europa y Estados Unidos desarticularon parte de su infraestructura, a través de la publicación de claves de descifrado y herramientas forenses. Sin embargo, poco tiempo después, LockBit intentó reactivarse y lanzar nuevas campañas, lo que revela la resiliencia del grupo. Su ransomware cifra datos con algoritmos AES y RSA y, como en otros casos, amenaza con filtrar información si la víctima no paga.
RansomHub
RansomHub emergió en 2024 y se convirtió en el grupo con más víctimas publicadas en sitios de filtración en 2025. Su aparición se dio justo después del desmantelamiento de LockBit, y algunos analistas sugieren que parte del ecosistema de LockBit migró hacia RansomHub.
Este grupo emplea tácticas de doble y hasta triple extorsión, con cifrado de archivos, robo de datos y amenazas a empleados o clientes. Aunque el malware base no presenta innovaciones técnicas radicales, RansomHub sobresale por la agresividad de sus campañas y su alcance global.
Medusa
Medusa fue detectado por primera vez a comienzos de 2023 y se posicionó entre las amenazas más serias del año. Fue utilizado para atacar infraestructuras críticas, hospitales y gobiernos locales, y sus operadores aplicaron técnicas agresivas de extorsión.
El ransomware se distribuía frecuentemente tras comprometer redes a través de vulnerabilidades sin parches o credenciales filtradas. Su portal en la dark web permite a las víctimas pagar por distintas “opciones”: eliminar los datos robados, retrasar su publicación o descargarlos.
Rhysida
Rhysida alcanzó notoriedad en noviembre de 2023 por el ataque a la Biblioteca Británica, uno de los incidentes cibernéticos con más impacto en el ámbito cultural. El grupo exfiltró documentos internos, contratos y datos personales de empleados, y exigió un rescate de seis cifras para no publicarlos.
Su enfoque utiliza doble extorsión con métodos de penetración manual: los atacantes logran acceso inicial mediante credenciales comprometidas, mueven lateralmente por la red y luego despliegan el payload.
Rhysida fue vinculado a ataques contra hospitales, gobiernos y entidades educativas, y su operación parece imitar la estructura de LockBit o Vice Society, aunque todavía no se confirmó una conexión directa.
Scattered Spider
Scattered Spider es un grupo especializado en ingeniería social y compromiso inicial de redes, que trabaja con grupos como ALPHV (BlackCat) o incluso LockBit. Su actividad se remonta a 2022, pero explotó años después, con ataques a empresas de telecomunicaciones, retail y salud. En 2025, protagonizó el ciberataque a Marks & Spencer en Reino Unido.
Este grupo destaca por su juventud y dominio del idioma inglés, lo que les permite engañar fácilmente a empleados y obtener credenciales de acceso. Sus campañas comienzan con phishing o llamadas telefónicas (“vishing”), seguidas de despliegue de malware.
Chaos
Chaos apareció como un constructor de ransomware y su uso se incrementó en 2024–2025. Su flexibilidad permitió que actores poco experimentados lo adaptaran a ataques personalizados. Uno de los incidentes más impactantes relacionados con Chaos fue el de 2025 al Berkeley Research Group, una consultora legal vinculada a investigaciones sobre abusos en la Iglesia Católica.
El ransomware Chaos puede dañar archivos y reemplazarlos por bloques aleatorios, además de robar información confidencial. Debido a que muchas de sus variantes no tienen una clave maestra común, las víctimas no tienen otra opción que restaurar desde copias de seguridad o pagar.
DragonForce
DragonForce es un grupo hacktivista surgido en Asia con una agenda política, pero que en 2024 comenzó a colaborar con operadores de ransomware en campañas extorsivas. En conjunto con Scattered Spider, perpetró ataques a cadenas de lujo del Reino Unido como Harrods y Marks & Spencer, lo que provocó la interrupción de plataformas de e-commerce y afectó a miles de clientes.
Aunque su origen está más ligado al activismo digital, DragonForce adoptó el modelo de exfiltración de datos para obtener beneficios financieros. Sus ataques suelen incluir filtración pública de datos en foros y redes sociales, con el objetivo de presionar reputacionalmente a las víctimas.
La evolución del ransomware y las nuevas técnicas de ataque
Los ciberdelincuentes hacen investigación y desarrollo, como una empresa normal. Ante las medidas defensivas adoptadas por las empresas, estas evolucionaron sus técnicas, elevando el nivel de los ataques.
En los primeros años del ransomware (alrededor de 2013-2017), veíamos sobre todo “pesca de arrastre”, con objetivos no dirigidos y rescates generalmente bajos, con una media inferior a US$ 1.000. Hoy en día, estamos viendo más ataques dirigidos, en los que los ciberdelincuentes preparan el ataque con actividades de OSINT para hackear la red de la víctima, desactivar sus protecciones e identificar los puntos de acceso.
A pesar de los esfuerzos por protegerse del ransomware, los ataques de los ciberdelincuentes son cada vez más sofisticados, por lo que todavía representan un gran desafío para usuarios y empresas en la actualidad. En este sentido, tal como indica el estudio Cyber Threats 2024: A Year in Retrospect de PwC, el 2024 registró un número récord de víctimas de ransomware reportadas en un año.
Las nuevas tendencias que estamos viendo en los últimos años son:
- Apareció la doble extorsión: Los atacantes no solo cifran los datos, sino que también amenazan con filtrarlos en línea, extorsionando a las víctimas para que paguen el rescate.
- Reinicio en modo seguro de Windows: Se utiliza la técnica de hacer que los ordenadores infectados se reinicien en el modo seguro de Windows, limitando así las funciones de seguridad.
- Ejecución desde una máquina virtual (VM): El ransomware se ejecuta desde una máquina virtual (VM) que se crea en todos los dispositivos que van a ser atacados, lo que dificulta su detección.
- Ransomware como servicio (RaaS): Ha aumentado el modelo de “ransomware como servicio”, donde los desarrolladores de malware alquilan o venden su software a otros cibercriminales, facilitando el ataque a un mayor número de víctimas sin necesidad de habilidades técnicas.
- Ataques dirigidos a sectores específicos: Los ciberdelincuentes están comenzando a focalizar sus ataques en sectores clave como el de la salud, la energía y las infraestructuras críticas, aprovechando su alta vulnerabilidad y el impacto económico de un posible ciberataque.
- Uso de técnicas de evasión avanzadas: Los ataques de ransomware están utilizando técnicas más sofisticadas para evadir la detección de los sistemas de seguridad, como la obfuscación del código y la evasión de herramientas de análisis de malware.
- Ransomware híbrido: Los atacantes ahora combinan el ransomware con otros tipos de malware, como troyanos y spyware, para obtener más información de la víctima antes de cifrar los archivos, lo que aumenta las posibilidades de pago.
- Explotación de vulnerabilidades conocidas: En lugar de depender solo de técnicas de ingeniería social, los ciberdelincuentes están explotando vulnerabilidades ya conocidas en el software sin parchear para propagar rápidamente el ransomware dentro de una red corporativa.
Cómo protegerse contra el ransomware: tres puntos clave
De acuerdo con el informe The State of Ransomware 2024 de Ransomware.org, el 14% de los encuestados respondió que sus organizaciones estaban completamente preparadas (con planes de respuesta probados) para responder a un ataque de ransomware de múltiples vectores. Por otro lado, el 35% respondió que estaban moderadamente preparadas (con algunos planes de respuesta).
Sin embargo, otro 35% reconoció que sus capacidades de respuesta estaban faltando en ciertas áreas. A su vez, el 15% afirmó que no estaban preparados, y el 1% expresó que se encontraban desarrollando estrategias de respuesta.
Ante esto, existen tres puntos clave para protegerse contra el ransomware:
La mejor protección es la prevención
El primer paso es actualizar siempre el antivirus y el sistema operativo. Mejor todavía es implementar sistemas avanzados de protección y detección (IDS, IPS, EDR).
Las copias de seguridad de los datos también son importantes
Es decir, copias de trabajo y recientes (no tan obvias, por desgracia) de los archivos propios. Las copias de seguridad de los datos corporativos deben ser una actividad planificada según la “seguridad por diseño” y no pueden dejarse a la “buena voluntad” de un operador.
Siempre debe incluir “redundancia”. Esto es no solo hacer una copia de seguridad, sino al menos tres copias según la regla básica 3-2-1 (tres copias de cada dato que quiera conservar, incluyendo dos copias “in situ” pero en diferentes almacenamientos como HD, NAS, Cloud, etc., y una copia “fuera del sitio”, en un sitio remoto, como en Cloud, cintas, etc.
De este modo, si el ransomware infectara el sistema, una copia de los datos permanecería protegida, lo que da la oportunidad de restaurarlos si fuera necesario. Igualmente importante es la protección de la copia de seguridad, que debe estar aislada y no ser accesible por ningún usuario en red. Tenemos casos de copias de seguridad desprotegidas en las que el ransomware consiguió acceder a los datos y cifrarlos. En ese momento, la víctima se encuentra a merced del atacante.
Nunca pagar el rescate al instante
En caso de ser atacado, no se debe pagar el rescate al instante, sino que se recomienda contactar con una empresa de seguridad informática. Sin embargo, en este punto se discute en profundidad la valoración que debe hacerse sobre si se debe pagar o no en caso de un ataque de ransowmare.
Protección contra el ransomware: lo que nunca hay que hacer
A pesar de la virulencia y la propagación del ransomware, existen sencillas reglas generales que pueden ayudarnos a evitarlo. Los enumeraremos aquí brevemente:
No abra archivos dudosos
No abra nunca los archivos adjuntos de los correos electrónicos de origen dudoso. En caso de duda, es aconsejable preguntar al remitente si el correo electrónico es auténtico.
Atención con los correos electrónicos desconocidos
Tenga cuidado con los correos electrónicos incluso de direcciones conocidas (pueden haber sido pirateados mediante un método de falsificación conocido como “spoofing”).
Activar la opción “Mostrar extensiones de nombres de archivos” en la configuración de Windows.
Los archivos más peligrosos tienen la extensión .exe, .zip, js, jar, scr, etc. Si esta opción está desactivada, no podremos ver la extensión real del archivo y podemos ser engañados.
Desactivar la reproducción automática
Desactivar la reproducción automática (“autorun”) de memorias USB, CD/DVD y otros soportes externos y, de forma más general, evitar poner estos objetos en nuestro ordenador si no estamos seguros de su origen. Este modo de ataque se denomina “cebo”: consiste en utilizar un señuelo para que una persona pueda acceder a un sistema informático determinado (una especie de caballo de Troya).
Hoy en día, esta amenaza se convirtió en algo real, por lo que en algunas empresas se establecen políticas muy restrictivas por las que se deshabilitan los puertos USB de los ordenadores para los usuarios. De este modo, el puerto USB puede utilizarse para conectar un ratón, cargar un smartphone, pero no podrá transmitir ni recibir datos. En otros casos -más frecuentes- no se produce este tipo de restricción (que a los usuarios les cuesta aceptar y comprender). Siempre es una buena idea formar a los usuarios en el uso cuidadoso de los medios extraíbles, haciéndoles conscientes de los riesgos que conllevan.
Desactivar la ejecución de macros por parte de los componentes de Office (Word, Excel, PowerPoint)
Los archivos adjuntos de Office armados con macros maliciosas representan una de las técnicas de ataque más extendidas en la actualidad. La activación de las macros permitirá que estas se activen automáticamente, lo que desencadena el proceso de infección del ransomware.
Actualice siempre los sistemas operativos y los navegadores
En general, es una buena idea instalar siempre los “parches” de seguridad (actualizaciones) que nos ofrecen los fabricantes del software que tenemos instalado.
Utilizar, siempre que sea posible, cuentas sin derechos de administrador
Si una cuenta con privilegios y acceso de administrador es hackeada, el atacante podrá utilizar los mismos privilegios para realizar más acciones y hacer más daño. Por el contrario, un usuario no administrador tiene privilegios limitados y las mismas limitaciones se trasladarán a la mano del atacante
Antispam avanzados
Instalar servicios antispam eficaces y avanzados que implementen los protocolos SPF, DKIM y DMARC. No podrán bloquear todos los correos electrónicos de phishing, pero los mejores consiguen una eficacia superior al 95%.
Atención con RDP
Tenga cuidado al utilizar el Protocolo de Escritorio Remoto (RDP): representa un puerto expuesto en la red, que -si no se necesita- debe cerrarse. Si tenemos que utilizarlo (sobre todo en estos tiempos en los que el trabajo inteligente a distancia es tan frecuente) debemos proteger este acceso con contraseñas fuertes y, posiblemente, con una doble autenticación.
Análisis de comportamiento
Implementar soluciones de análisis del comportamiento del usuario (UBA) en la red corporativa (análisis de anomalías del tráfico web) con sistemas IDS, IPS y EDR. Estas herramientas representan la protección más avanzada contra el ransomware en la actualidad. Se sabe, de hecho, que este malware presenta una serie de comportamientos típicos (acceder/escribir carpetas del sistema, conectarse a servidores externos para descargar archivos cifrados, etc.). Por lo tanto, las UBA analizan el comportamiento de cada uno de los ordenadores de la empresa y son capaces de comprender si se producen eventos “anormales” (como un tráfico de datos superior a la media, el acceso a direcciones IP clasificadas como maliciosas, el acceso y la escritura en carpetas del sistema que no deberían utilizarse). Al detectar eventos anormales y sospechosos, pueden aislar el ordenador infractor y bloquear (al menos circunscribir) el ataque.
Habilitar el uso de la caja de arena
Estas herramientas suelen estar presentes en los sistemas UBA (mencionados en el punto anterior) y permiten analizar los archivos entrantes sospechosos en un entorno aislado (la “caja de arena”).
Plugins actualizados
Asegúrese de que los plugins que utiliza (Java, etc.) están siempre actualizados. Se sabe que estos plugins son la vía de entrada preferida para la mayoría de los ciberataques. Tenerlas siempre actualizadas reduce sus vulnerabilidades (aunque no las elimina por completo). Hay que señalar que Adobe Flash Player fue abandonado por Adobe a finales de 2020, aunque todavía se utiliza en muchos sitios “heredados”. Por lo tanto, es una buena idea mantener Flash desactivado (o incluso mejor, desinstalado) y utilizarlo solo cuando sea realmente necesario’ y con el máximo cuidado.
Ojo con los banners
Tenga siempre cuidado antes de hacer clic en banners (o ventanas emergentes) de sitios no seguros. Como ya se explicó, el ransomware puede atacarnos no solo a través del phishing, sino también visitando sitios que han sido “infectados”, de una manera conocida como “drive-by downloading”.
Activar un procedimiento de copia de seguridad de sus datos
Esta es una medida fundamental. Si, a pesar de todo, el ransomware consigue atacarle, su única salvación es tener una copia de seguridad de sus datos en otro lugar. Y es importante que la copia de seguridad se realice con frecuencia y en su totalidad. En ausencia de una copia de seguridad, solo queda la opción de pagar el rescate.
No se olvide del factor humano
Y por último, no olvide nunca que el eslabón más débil de la seguridad es el factor humano. Por lo tanto, es esencial formar e informar a los usuarios para que no caigan en las trampas del “phishing”, el vector más utilizado para este tipo de ataques; en la práctica, el factor humano y la concienciación de los usuarios se subestiman con demasiada frecuencia.
Qué hacer si fue afectado por un ransomware
En este desafortunado escenario (pero siempre puede ocurrir), hay básicamente cuatro opciones:
- Restaurar los archivos desde una copia de seguridad (la mejor solución, la única que una empresa bien organizada debería considerar).
- Buscar un “desencriptador” en la red para desencriptar los archivos (solo funciona en algunos casos).
- No hacer nada y perder sus datos.
- Pagar el rescate (“Ransom”).
Veámoslos con más detalle.
Restaurar archivos desde una copia de seguridad
Esta es la mejor solución, la única que debe considerarse si hemos actuado con cuidado y nos hemos organizado con una política adecuada de copias de seguridad periódicas de nuestros datos. Obviamente, para hacer una restauración, es necesario tener una copia de seguridad que esté disponible, sea reciente y funcione.
Incluso en el peor de los casos de no tener una copia de seguridad, vale la pena hacer una investigación exhaustiva que pueda llevarnos a recuperar copias de los archivos más importantes.
Podríamos recuperarlos desde la nube (todas las nubes proporcionan “versionado” de archivos, por lo que una versión anterior, no eliminada por el ransomware, puede recuperarse.
Sin embargo, si tenemos una copia de seguridad utilizable, hay que realizar una limpieza de la máquina (o máquinas) infectadas antes de restaurar los datos.
La limpieza, para ser efectiva y segura, debe incluir un formateo completo de la(s) máquina(s) infectada(s). Sólo entonces se pueden restaurar los datos a partir de la copia de seguridad.
Buscar un “desencriptador” en la red para descifrar los archivos
La gran proliferación de variedades de ransomware en los últimos años ha hecho que los principales proveedores de seguridad del mundo traten de encontrar “antídotos” para estos programas maliciosos. Y en algunos casos incluso lo han conseguido: para algunas versiones menos eficaces del ransomware se han creado (y puesto a disposición en la red) programas y herramientas capaces de recuperar los archivos cifrados.
Sin embargo, estos procedimientos no son elementales y a menudo son complejos, y rara vez tienen éxito con los ransomware más nuevos y mejor elaborados. Al fin y al cabo, los hackers también leen los mismos blogs y foros de seguridad y actualizan sus productos para hacerlos inatacables a los desencriptadores.
Por ejemplo: las primeras versiones de Petya tenían debilidades en la clave de cifrado. En versiones posteriores, los hackers cerraron este fallo.
Ransomware TeslaCrypt
El ransomware TeslaCrypt (uno de los más extendidos hasta 2016) también tenía debilidades que permitían recuperar la clave privada con algunas herramientas especiales (TeslaDecoder, TeslaCrack, etc.). Desde la versión 3.0 de TeslaCrypt se ha eliminado este fallo y el cifrado AES de 256 bits ha hecho imposible cualquier recuperación de la clave de descifrado.
Por lo tanto, esta opción tiene pocas posibilidades de éxito (prácticamente ninguna si el cifrado se realizó con algoritmos de cifrado fuertes como AES 256, Salsa20 u otros), pero aún así puede valer la pena intentarlo en la red.
¡Para ello, señalo la muy útil página web No More Ransom! Fue creado en 2016 por la Unidad Nacional de Delitos de Alta Tecnología de la policía holandesa, el Centro Europeo de Ciberdelincuencia de Europol y dos empresas de seguridad informática, Kaspersky Lab y McAfee, con el objetivo de ayudar a las víctimas de ransomware a recuperar sus datos cifrados, sin tener que pagar a los delincuentes. Buscando en el sitio, o subiendo un archivo encriptado propio, podemos encontrar (¡si existe!) el desencriptador para descifrar -de forma gratuita- los archivos.
En la búsqueda del antídoto que pueda recuperar nuestros archivos, ¡tengamos cuidado con los falsos desencriptadores!
En la red se puede encontrar de todo, incluso aquellos que explotan a los usuarios en estado de pánico por el ransomware.
Esto es lo que hicieron, por ejemplo, los creadores del troyano Zorab en 2020: ofrecieron una utilidad que parecía descifrar los archivos afectados por el ransomware STOP/Djvu, pero que en realidad los volvía a cifrar por segunda vez. A continuación, mostraría un mensaje invitando a la (doble) víctima a ponerse en contacto con los delincuentes para pagar el rescate y obtener la clave de descifrado.
Y esta estrategia parece haber tenido cierto éxito: el ransomware STOP Djvu, muy extendido en los últimos años, no se dirige a las empresas, sino a los usuarios domésticos, ya que se distribuye dentro de cracks de software y videojuegos (por lo que es uno de los vectores de infección que hemos mencionado anteriormente). Y estos usuarios menos experimentados podrían ser engañados más fácilmente por un falso descifrador ofrecido en la red.
No hacer nada y perder sus datos
Esta no es una opción emocionante y casi nunca es una opción, especialmente para una empresa. A menos que los datos encriptados sean realmente de poca importancia. Incluso si se optara por esta solución, sigo recomendando:
- Sacar el disco con los archivos comprometidos de la máquina y dejarlo a un lado: podría ocurrir que en el futuro alguien encontrara el desencriptador para desencriptar esos archivos nuestros, que podrían recuperarse. Podría llevar meses, pero podría ocurrir.
- Hacer una copia de seguridad de los archivos encriptados y luego reclamar la máquina de todos modos.
Pagar el rescate
Evidentemente, ésta es la peor solución, a la que nunca se debe llegar: si pagamos, alimentamos el crimen y lo hacemos aún más rico y fuerte. Pero incluso si paga, no tiene ninguna garantía de recuperar sus datos: recuerde siempre que hay delincuentes al otro lado.
Como he dicho antes, aunque pague, hay al menos un 20% de posibilidades de que no le den la clave de descifrado. Sin embargo, si decide pagar el rescate, los pasos a seguir suelen ser los siguientes (con pequeñas variaciones según el tipo de malware que nos haya afectado):
Leer las instrucciones que se enviaron con la petición de rescate
Es útil entender cuál es la cantidad exigida (casi siempre en Bitcoin, una criptodivisa imposible de rastrear). Y lo más importante: cuánto tiempo disponemos para pagar antes de que nuestros archivos se pierdan definitivamente (los ciberdelincuentes suelen fijar un plazo de unas 72 horas, aunque nunca muy largo).
Comprar Bitcoins para pagar
Encontrar un sitio que “intercambie” esta moneda. Hay muchos y son públicos (es decir, no son ilegales). Es importante elegir una bolsa fiable y seria, porque hay muchas de dudosa reputación.
Abrir una cuenta en el sitio elegido
Se trata básicamente de una cuenta electrónica (cartera) donde se depositarán los Bitcoins comprados.
Navegador TOR
Debido a que el pago se solicita a través de la red TOR (una ‘darknet’ que garantiza una navegación completamente anónima), es necesario instalar un navegador TOR. Puede descargarlo directamente desde el sitio de Tor Project. Se utiliza de forma muy parecida a la de un navegador normal (deriva de Firefox).
Con TOR, hay que acceder al sitio indicado por los hackers en la petición de rescate. Los sitios de la red TOR no están indexados en Google y sólo se puede llegar a ellos si se conoce la dirección exacta, lo que es muy complejo. Este es un ejemplo de dirección TOR: 7yulv7filqlrycpqrkrl.onion.
Pagar el rescate
Esto significa transferir BTC de su cartera de Bitcoin a la cartera del hacker. Para llegar a ella, suele bastar con seguir las instrucciones del sitio. El monedero en el que realizar el pago se identifica mediante un “ID de monedero”, que consiste en una larga serie de números y letras como ésta: 19eXu88pqN30ejLxfei4S1alqbr23pP4bd. Este código rastrea el pago sólo en forma alfanumérica, lo que hace casi imposible rastrear el nombre del titular del monedero.
Después de transferir el BTC a la cuenta de los hackers, recibiremos otro código (de nuevo, una larga serie de números y letras) que representa la confirmación de la transacción.
Esperar y aguardar
En unas horas (el tiempo que tarda la transacción en ser procesada por los sistemas) deberíamos recibir un archivo con la clave privada de descifrado, o un archivo ejecutable que procederá a descifrar los archivos, en la práctica el descifrador. Para que el descifrado de los archivos sea completo, necesitamos mantener conectados todos los dispositivos y discos que estaban conectados en el momento de la infección (de lo contrario, algunos archivos podrían no ser descifrados).
Preguntas frecuentes sobre el ransomware
¿Cuál es el impacto regulatorio y legal para las empresas que sufren un ataque de ransomware?
Las empresas deben cumplir con normativas como GDPR y leyes de protección de datos, que exigen reportar brechas y pueden imponer multas significativas por incumplimiento en la gestión de incidentes ransomware y protección de datos.
¿Cómo diseñar e implementar un programa efectivo de concienciación y formación para prevenir ataques de ransomware?
Un programa debe incluir formación continua, simulaciones de phishing, evaluación de riesgos humanos, y métricas de desempeño, integrando tecnología y cultura organizacional para reducir el factor humano como vector de ataque.
¿Qué herramientas de detección avanzada recomiendan para la protección contra ransomware en redes corporativas?
Soluciones EDR (Endpoint Detection and Response), sistemas IDS/IPS, análisis UBA y sandboxing son recomendados; proveedores líderes incluyen CrowdStrike, SentinelOne, Palo Alto Networks y Microsoft Defender for Endpoint.
¿Cuál es el retorno de inversión (ROI) esperado al implementar una estrategia integral contra ransomware?
Invertir en ciberseguridad reduce pérdidas potenciales que pueden superar millones, mejora la continuidad del negocio y protege la reputación, con ROI positivo al evitar costos de rescates, multas regulatorias y daño operativo.
