Tecnología
01 de noviembre de 2025 - 11:11

Evolución del ransomware: ¿por qué es tan difícil de detener?

Ransomware.
Ransomware.Shutterstock

El ransomware ha migrado de ser una amenaza técnica a un poderoso motor económico que paraliza industrias y gobiernos. A medida que los atacantes se profesionalizan, ¿qué estrategias innovadoras pueden implementar las organizaciones para vencer este desafiante fenómeno?

Por ABC Color

El ransomware dejó de ser un problema técnico para convertirse en un fenómeno económico, social y geopolítico.

En los últimos años, ataques que encriptan datos y exigen rescates paralizaron hospitales, gobiernos locales, empresas de infraestructura y pymes.

Aun con más inversión en ciberseguridad y operativos policiales puntuales, el delito persiste, muta y se profesionaliza. ¿Por qué pasa y cómo se corta el círculo?

Qué es el ransomware y cómo opera

El ransomware es un tipo de software malicioso que, una vez dentro de un sistema, cifra archivos y bloquea el acceso a la información.

Todos los beneficios, en un solo lugar Descubrí donde te conviene comprar hoy

Los atacantes exigen un pago —generalmente en criptomonedas— a cambio de una clave para recuperar los datos.

Lea más: VPN, proxys y anonimato online: qué sirve, qué no y qué tan seguros son

En su evolución reciente, muchos grupos sumaron la “doble extorsión”: además de encriptar, roban información sensible y amenazan con publicarla si no se paga.

Algunas bandas van más allá con “triple extorsión”, presionando a clientes o socios del objetivo para maximizar el daño reputacional.

Si bien hubo campañas masivas y caóticas como WannaCry (2017) o NotPetya (2017), hoy predominan operaciones dirigidas (“ransomware a medida”) que investigan a la víctima, calculan su capacidad de pago y negocian como si fueran una empresa.

La cadena de ataque, paso a paso

  • Acceso inicial: las vías más comunes son el phishing (correos o mensajes engañosos con adjuntos o links maliciosos), vulnerabilidades sin parchear en servicios expuestos a Internet (como VPN o escritorios remotos), credenciales robadas y, cada vez más, proveedores comprometidos en la cadena de suministro.
  • Reconocimiento y movimiento lateral: una vez adentro, los atacantes se mueven por la red, elevan privilegios y localizan servidores críticos y respaldos. Pueden desactivar antivirus o registros para entorpecer la detección.
  • Exfiltración: copian datos sensibles para usarlos como palanca de extorsión.
  • Cifrado y nota de rescate: ejecutan el ransomware, interrumpen operaciones y dejan instrucciones de pago, a menudo con un portal de negociación en la dark web.

Este proceso puede durar días o semanas. Muchos ataques se lanzan fuera del horario laboral o en fines de semana para demorar la respuesta.

El negocio detrás: crimen como servicio

El ecosistema se organizó en torno al modelo “Ransomware as a Service” (RaaS). Los desarrolladores del malware alquilan sus kits a afiliados que ejecutan los ataques.

Se reparten los ingresos del rescate. Hay marketplaces con soporte técnico, manuales, pruebas de descifrado y sistemas de reputación. Esta división del trabajo reduce barreras de entrada y multiplica la escala.

Lea más: Ataques cibernéticos y filtraciones de datos: cómo protegerse en la era digital

Además, la cadena incluye vendedores de accesos iniciales (brokers que comercializan credenciales o brechas), lavadores de criptomonedas y negociadores profesionales. Para las víctimas, esto significa enfrentar adversarios con herramientas y procesos estandarizados.

Por qué es tan difícil de frenar

  • Incentivos económicos claros: los rescates pueden alcanzar cifras millonarias y los costos de operación son bajos. Mientras existan pagos, habrá oferta.
  • Anonimato relativo: las criptomonedas y servicios de mezclado dificultan rastrear fondos, aunque no lo vuelven imposible.
  • Asimetría y superficie de ataque: basta una falla humana o técnica para comprometer una red; del otro lado, defender implica cubrir miles de puntos, 24/7.
  • Brechas de ciberhigiene: parches atrasados, contraseñas débiles, exposición innecesaria de servicios y respaldos mal protegidos siguen siendo comunes.
  • Complejidad tecnológica: entornos híbridos (nube y on-premise), sistemas legados y terceros interconectados amplían riesgos.
  • Jurisdicciones permisivas: grupos que operan desde países con baja cooperación internacional o que priorizan otros intereses dificultan la aplicación de la ley.
  • Mercado gris: pólizas, tercerizaciones y la presión por reanudar operaciones llevan a algunas organizaciones a considerar el pago, lo que alimenta el ciclo.
  • Adaptación criminal: cuando una técnica pierde eficacia, los actores cambian de vector, explotan nuevas vulnerabilidades o ensayan tácticas de extorsión más agresivas.

Qué están haciendo los Estados y las empresas

  • Disrupción e inteligencia: operaciones coordinadas han desmantelado infraestructuras de algunas bandas, recuperado claves de descifrado y bloqueado billeteras, con éxito variable y generalmente temporal.
  • Regulación y reporte: más países exigen notificar incidentes significativos y recomiendan no pagar rescates. En sectores críticos, se elevan estándares mínimos de seguridad.
  • Sanciones y cooperación: se sanciona a individuos y servicios de lavado, y se comparten indicadores de compromiso entre agencias y privados.
  • Mejora de defensas: crecimiento de equipos de respuesta (CSIRT/CERT), adopción de autenticación multifactor, segmentación de redes, gestión de vulnerabilidades y respaldos inmutables.

Aun así, el ritmo de innovación de los atacantes y la fragmentación normativa limitan el impacto sostenido de estas medidas.

Cómo reducir el riesgo sin falsas promesas

No existe protección perfecta, pero sí capas de control que complican al atacante y acotan el daño:

  • Autenticación multifactor en accesos críticos y eliminación de RDP expuesto sin control.
  • Gestión rigurosa de parches y de la superficie de ataque: inventario de activos, cierre de servicios innecesarios y monitoreo de credenciales filtradas.
  • Principio de mínimo privilegio y segmentación de redes para contener movimientos laterales.
  • Respaldos 3-2-1 con copias offline o inmutables y pruebas regulares de restauración.
  • Detección y respuesta: telemetría en endpoints y servidores, alertas de comportamiento anómalo y planes de respuesta con roles definidos y simulacros.
  • Concientización práctica: ejercicios de phishing y protocolos claros para reportar incidentes sin culpas.
  • Due diligence a proveedores: cláusulas de seguridad, auditorías y aislamiento de integraciones.

En caso de incidente, especialistas recomiendan preservar evidencias, activar el plan de respuesta, notificar a autoridades y evitar decisiones precipitadas. Pagar no garantiza la recuperación total ni evita filtraciones posteriores, y puede acarrear riesgos legales o reputacionales.

Lo que viene

El ransomware seguirá evolucionando: mayor foco en datos y extorsión reputacional, automatización con herramientas de IA para phishing más creíble y explotación acelerada de vulnerabilidades de día cero.

La respuesta efectiva combina tecnología, procesos y cooperación. Mientras el delito siga siendo rentable y el ecosistema digital crezca en complejidad, el desafío no desaparecerá. Entender cómo funciona —y por qué es tan difícil de frenar— es el primer paso para no ser la próxima víctima.