Saltar al contenido principal
Volver a la biblioteca
Riesgo críticoMalware· Nivel intermedio

Ransomware

Malware que cifra archivos críticos y exige rescate, frecuentemente combinado con extorsión por filtración de datos (doble extorsión). El coste medio de una brecha con ransomware supera los 5 millones $ (IBM Cost of a Data Breach 2024).

Qué es

Qué es

Un programa malicioso que cifra los archivos de la víctima (documentos, bases de datos, máquinas virtuales, copias) y pide un pago, normalmente en criptomoneda, para devolver el acceso. En la modalidad de doble extorsión (estándar desde 2020), el atacante además roba una copia y amenaza con publicarla si no se paga.

Cómo entra

Vías habituales según Verizon DBIR 2024:

  1. Credenciales robadas o débiles (más del 30 % de los casos).
  2. Phishing con adjunto o enlace que descarga el dropper.
  3. Vulnerabilidades sin parchear en servicios expuestos (VPN, RDP, software perimetral).
  4. Supply chain: compromiso de un proveedor (MSP, software de gestión).

Cadena de ataque típica

  1. Acceso inicial (phishing o credenciales).
  2. Escalado y movimiento lateral (días o semanas).
  3. Exfiltración de datos.
  4. Despliegue del cifrador y publicación de la nota de rescate.

El tiempo medio entre intrusión y cifrado ha bajado de 24 días en 2020 a menos de 5 días en 2024 (Sophos State of Ransomware).

Impacto

  • Parada operativa total durante días o semanas.
  • Filtración de datos personales (RGPD: notificación obligatoria en 72h).
  • Daño reputacional y pérdida de clientes.
  • Coste de remediación, no solo del rescate.

Pagar o no pagar

La recomendación de Europol, INCIBE y el FBI es no pagar: financia futuros ataques, no garantiza recuperación (en torno al 35 % de quienes pagan no recuperan todos los datos según Sophos 2024), y puede tener implicaciones legales si el grupo está sancionado por OFAC.

Prevención

Tres pilares

1. Endurecer el acceso

  • MFA en todo lo expuesto (VPN, RDP, paneles admin, correo).
  • Privilegio mínimo: usuarios sin permisos de admin local; admins con cuentas separadas para su rol elevado.
  • Cerrar lo innecesario: RDP directo a internet es regalar acceso.

2. Parchear y monitorizar

  • Parches críticos en menos de 30 días (CISA KEV catalog).
  • EDR (Endpoint Detection & Response) en todos los puestos y servidores.
  • Detección de comportamientos anómalos: actividad masiva de cifrado, acceso a recursos inusuales fuera de horario.

3. Backups que sobreviven al ataque

  • Regla 3-2-1-1-0: 3 copias, 2 medios distintos, 1 fuera del sitio, 1 offline o inmutable, 0 errores verificados.
  • Probar la restauración periódicamente. Un backup que no se ha probado no existe.
  • Mantener copias inmutables o air-gapped que el atacante no pueda borrar aunque comprometa el dominio.
Si ocurre

Si detectas cifrado activo: ver el protocolo de respuesta a ransomware en /protocolos.

Práctica recomendada

Pon a prueba lo que has leído en estos escenarios del simulador: