Ciberamenazas y contramedidas

Ransomware

Se lee en aproximadamente 5 minutos

Última actualización: 2026-03-15

Qué es el ransomware

El ransomware es un malware que cifra los archivos de un ordenador infectado y exige un rescate (Ransom) a cambio de descifrarlos. El rescate generalmente se solicita en criptomonedas (como Bitcoin) que son difíciles de rastrear.

El ransomware reciente no se limita al simple cifrado de archivos; la "doble extorsión" se ha convertido en la norma. Además del cifrado, se roban los datos y se amenaza con "publicar los datos si no se paga el rescate". También se ha confirmado la "triple extorsión", donde se contacta a los socios comerciales y clientes de la víctima para ejercer presión adicional.

En las "10 principales amenazas de seguridad informática" del IPA, el ransomware ha ocupado el primer lugar en amenazas para organizaciones durante varios años consecutivos.

Principales vías de infección

  • Correos de phishing: La vía de infección más común. Se engaña al usuario para que abra archivos adjuntos (archivos Office con macros, ejecutables dentro de ZIP) disfrazados de facturas o notificaciones de envío. Recientemente también aumentan los casos que utilizan archivos OneNote o imágenes ISO.
  • Vulnerabilidades en dispositivos VPN: Se infiltran explotando vulnerabilidades en dispositivos VPN sin parchear o en el escritorio remoto (RDP). Es una vía frecuentemente confirmada en ataques a hospitales y empresas en Japón.
  • Ataques a la cadena de suministro: Se propaga la infección a múltiples organizaciones simultáneamente a través de funciones de actualización de software o proveedores de servicios gestionados (MSP). En el incidente de Kaseya en 2021, más de 1.500 organizaciones fueron afectadas.
  • Ingeniería social: Método que se hace pasar por soporte técnico de TI por teléfono o chat para inducir la instalación de herramientas de acceso remoto. Explota la psicología humana en lugar de vulnerabilidades técnicas.

Medidas preventivas efectivas

Para prevenir los daños del ransomware, se necesitan medidas en múltiples capas.

  1. Práctica de la regla de respaldo 3-2-1: Mantener 3 copias de los datos, en 2 tipos de medios, con 1 copia fuera del sitio. Como el ransomware también cifra las copias de seguridad en la red, las copias de seguridad offline (medios desconectados de la red) son indispensables.
  2. Gestión rigurosa de parches: Aplicar rápidamente los parches de seguridad del sistema operativo, dispositivos VPN y herramientas de acceso remoto. Dejar vulnerabilidades conocidas sin parchear es el mayor riesgo.
  3. Refuerzo de la seguridad del correo electrónico: Implementar inspección de archivos adjuntos en sandbox, restricción de ejecución de macros y filtrado de remitentes sospechosos.
  4. Segmentación de red: Dividir la red en segmentos para limitar el alcance de la infección. Aislar los servidores importantes y las copias de seguridad en segmentos separados.
  5. Formación de empleados: Capacitar regularmente sobre cómo identificar correos de phishing y cómo manejar archivos adjuntos sospechosos. Las medidas técnicas por sí solas no pueden prevenir completamente los errores de juicio humano.

Pasos a seguir en caso de infección

Si se produce una infección por ransomware, siga estos pasos sin entrar en pánico.

  1. Desconectar inmediatamente de la red: Desconectar el cable LAN del equipo infectado, desactivar el Wi-Fi. La acción prioritaria es prevenir la propagación lateral de la infección.
  2. No pagar el rescate: No hay garantía de que se proporcione la clave de descifrado tras el pago, y el pago financia a los atacantes y fomenta futuros ataques. Tanto el FBI como la policía no recomiendan el pago.
  3. Preservar las evidencias: Guardar capturas de pantalla de la demanda de rescate, muestras de archivos cifrados y archivos de registro.
  4. Contactar al equipo de respuesta a incidentes: Contactar al CSIRT interno o al proveedor de seguridad para recibir asistencia especializada. En caso de particulares, consultar con la ventanilla de delitos cibernéticos de la policía.
  5. Verificar herramientas de descifrado: Comprobar si se ha publicado una herramienta de descifrado gratuita para el ransomware en cuestión en el proyecto No More Ransom (nomoreransom.org).

La recuperación tras una infección puede llevar de semanas a meses. La preparación previa (copias de seguridad y plan de respuesta) determina decisivamente la magnitud del daño.

Conceptos erróneos comunes

El ransomware solo ataca a grandes empresas
Las pequeñas y medianas empresas y los particulares también son objetivos frecuentes. De hecho, las pymes con medidas de seguridad limitadas son preferidas por los atacantes como "objetivos fáciles". En Japón se han reportado numerosos casos de víctimas en hospitales, municipios y pequeñas empresas manufactureras.
Si pagas el rescate, los datos se recuperan con seguridad
Se han reportado casos en los que, incluso tras pagar el rescate, no se proporciona la clave de descifrado, el descifrado falla o solo se restauran algunos archivos. Además, las organizaciones que han pagado tienden a ser atacadas nuevamente como "objetivos con historial de pago".

Términos relacionados

Phishing Un método de ataque que suplanta la identidad de organizaciones legítimas, banco… Filtración de datos Un incidente en el que información personal o datos confidenciales en poder de u… Estrategia de respaldo (Regla 3-2-1) Un principio fundamental de protección de datos: mantener al menos 3 copias de l… Respuesta a incidentes Un proceso sistemático y estructurado para detectar, contener, erradicar y recup… Ingeniería social Una metodología de ataque que explota las debilidades psicológicas humanas en lu…

Artículos relacionados

Guía de protección contra ransomware - Defensa ante ataques de extorsión Una guía completa para entender el ransomware, sus vectores de infección, estrategias de prevención … Qué hacer tras una filtración de datos - Guía de respuesta paso a paso Aprende los pasos concretos a seguir cuando tu información personal se ve comprometida y cómo minimi…
← Glosario