¿Qué es el ransomware? Ejemplos, prevención y detección

Ha habido un aumento en los ataques de ransomware, con más de 5,414 ataques experimentados por organizaciones en todo el mundo en 2024, lo que representa un incremento del 11% respecto al año anterior. Esta escalada se debe a campañas de phishing, kits de explotación y servicios en la nube vulnerables que los delincuentes aprovechan para llevar a cabo actividades fraudulentas. Tanto las pequeñas como las grandes empresas están en riesgo de infiltración, pérdida de datos y periodos prolongados de inactividad, lo que resulta en grandes pérdidas. Por ello, es fundamental que las empresas mejoren su comprensión del ransomware y desarrollen contramedidas contra los ataques de ransomware.

En este artículo, definiremos qué es el ransomware y cómo representa una amenaza para las organizaciones empresariales. Luego, discutiremos las implicaciones para las organizaciones, explicaremos la historia del ransomware y describiremos los diferentes modos de infección. En esta sección, aprenderá sobre los distintos tipos de ransomware y las técnicas que utilizan los ciberdelincuentes, así como ejemplos de ransomware en casos famosos. Por último, pero no menos importante, abordaremos qué es un ataque de ransomware, proporcionaremos consejos sobre cómo prevenir ataques de ransomware y cómo SentinelOne mejora cada uno de ellos.

¿Qué es el ransomware?

El ransomware es una forma de malware que bloquea o cifra los archivos de la víctima y luego exige el pago para obtener la clave de descifrado. El significado de ransomware se ha diversificado para incluir desde simples bloqueadores de pantalla hasta los últimos cifrados sofisticados que roban datos de manera sistemática y luego amenazan con filtrar la información. Las demandas globales de rescate en 2024 se estimaron en un promedio de $2.73 millones, y esta cifra ha puesto a las empresas en el dilema de perder sus datos o pagar una suma considerable.

La infiltración es un acto agresivo en el que el atacante aprovecha una debilidad en el software objetivo o en los hábitos de sus usuarios. En términos simples, la definición de ransomware incluye una amenaza disruptiva que no solo paraliza las operaciones organizacionales, sino que también erosiona la confianza de los consumidores. Para definir eficazmente el ransomware, es necesario comprender su impacto, desde la infiltración inicial hasta los distintos niveles de cifrado. Así que, pasemos a la siguiente sección.

Impacto del ransomware en las empresas

Un solo ataque de ransomware puede causar daños significativos a una organización: detener la producción, bloquear datos en bases de datos o impedir que los empleados accedan a aplicaciones. El rescate promedio ha aumentado, lo que indica que los delincuentes están más seguros de obtener grandes pagos. Independientemente de si se trata de la filtración de información de clientes o de una interrupción que paraliza las operaciones comerciales, el impacto trasciende las simples pérdidas monetarias. Aquí hay cuatro pérdidas significativas que experimentan las empresas cuando son víctimas de ataques de ransomware:

1. Interrupción operativa: Cuando se bloquean archivos o servidores críticos, el personal no puede trabajar en ventas, registros de empleados o aplicaciones de gestión de la cadena de suministro, y las líneas de producción se detienen. Cualquier interrupción, por pequeña que sea, conduce a retrasos en pedidos o cancelación de servicios, lo que resulta en una pérdida de confianza de los clientes. La recuperación de ransomware puede tomar varios días o semanas en caso de copias de seguridad desactualizadas o si los datos también están cifrados. Esta brecha puede causar graves daños reputacionales y pérdidas o déficits de ingresos.
2. Pérdida de datos y divulgación de brechas: Los ataques recientes de ransomware también tienden a incluir el robo de datos. En este escenario, los atacantes exigen dinero a las organizaciones objetivo a cambio de no divulgar cierta información sobre clientes o socios. Si hay filtración, pueden aplicarse regulaciones de divulgación obligatoria, lo que puede llevar a acciones regulatorias y sanciones. La combinación de infiltración y escenarios de filtración pública ilustra las amenazas potenciales que el ransomware puede plantear.
3. Daño financiero y reputacional: Además de la pérdida financiera directa en forma de rescate, estos ciberataques pueden implicar costosos análisis forenses, reconstrucción de sistemas y, en algunos casos, demandas colectivas. Los clientes pueden cambiar a otras empresas que no tengan problemas similares en el futuro, y los inversores pueden dudar de la capacidad de la dirección para gestionar riesgos. Para prevenir tal infiltración, las aseguradoras pueden optar por aumentar las primas o incluso cancelar las pólizas de seguro. Al final, reconstruir una imagen de marca dañada lleva tiempo, a veces incluso años.
4. Erosión de la confianza de clientes y partes interesadas: Una vez que se detecta una brecha, personas como la junta directiva, la autoridad reguladora o clientes clave comenzarán a dudar del nivel de seguridad. La falta de confianza es costosa y puede llevar a la rescisión de contratos o a requisitos más estrictos por parte del socio. Para tranquilizarlos, se debe proporcionar evidencia de mejores controles, escaneo continuo y, por último, una capacitación adecuada del personal. Cuando una organización invierte en un sólido ransomware en ciberseguridad, genera aún más confianza a largo plazo.

Historia del ransomware

Los orígenes del ransomware se remontan a algunos troyanos de extorsión simples que aparecieron a finales de la década de 1980 hasta los ataques más avanzados basados en cifrado. Estos ataques evolucionaron con los años y, con la ayuda de técnicas de cifrado sofisticadas y estrategias de sigilo, se convirtieron en una de las principales amenazas en el mundo del cibercrimen. En las siguientes secciones, identificamos cuatro etapas para demostrar cómo los delincuentes han evolucionado sus estrategias.

1. El troyano PC Cyborg (finales de los 80): Desarrollado en 1989, el “AIDS Trojan” o “PC Cyborg” infectaba el ordenador y luego exigía el pago para restaurar su funcionalidad. Este fue el primer caso registrado que cambió la definición de ataque de ransomware: software que cifra datos específicos y exige un pago. Aunque relativamente rudimentario en el contexto de las definiciones contemporáneas, sentó las bases conceptuales para la extorsión moderna. El vector de ataque era bastante simple, el virus se propagaba a través de disquetes infectados que se entregaban a los participantes en una conferencia.
2. Ransomware de cifrado (principios de los 2000): Aparecieron tipos más sofisticados de ransomware a principios de los 2000, que cifraban datos utilizando algoritmos modernos como RSA o AES. Estos ejemplos de ransomware eran difíciles de evitar ya que la detección antivirus era lenta. Los atacantes buscaban el pago a través de las primeras formas de medios digitales o transferencias bancarias, lo que dificultaba a las fuerzas del orden rastrear el dinero. Esto llevó al desarrollo de otras formas de amenazas de seguridad, y los expertos comenzaron a referirse a ellos con términos como ‘crypto-ransomware’, asociado a algoritmos complejos.
3. Nuevos métodos de extorsión: La década de 2010 vio un aumento en el avance de las técnicas utilizadas para perpetrar el delito, incluido el WannaCry ransomware en 2017. Este ataque basado en gusanos cerró hospitales y corporaciones en cuestión de horas en todo el mundo. Los ciberdelincuentes utilizaron exploits robados a la NSA para demostrar que incluso los más poderosos pueden crear oleadas implacables de ataques de ransomware. Además, surgió RaaS (Ransomware as a Service), permitiendo que recién llegados ingresaran al negocio sin experiencia previa.
4. Doble extorsión y uso geopolítico (2020 a 2025): Actualmente, los actores cibernéticos primero roban datos y amenazan con publicarlos si no se cumplen sus demandas, lo que se conoce como doble extorsión. Esto obliga a las organizaciones a considerar los costos que podrían incurrir en caso de filtración de datos, incluso si cuentan con copias de seguridad. Sin embargo, las campañas patrocinadas por estados a veces utilizan ransomware con fines de espionaje o destrucción, dificultando distinguir entre objetivos monetarios y políticos. Actualmente, las amenazas son aún más sofisticadas debido al uso de sigilo, IA y herramientas muy específicas.

¿Cómo se propaga el ransomware?

Explicar el significado de la ruta de infección de ransomware muestra que existen varias formas en que el ransomware puede infiltrarse en un sistema, desde correos electrónicos de spam con archivos adjuntos hasta soluciones en la nube comprometidas.

Los ciberdelincuentes adaptan sus estrategias a las vulnerabilidades de cada objetivo, como servidores inseguros o empleados crédulos. Aquí hay cinco formas en que los delincuentes entregan el código de ransomware e integran este en la infraestructura de una organización:

1. Correos de phishing y archivos adjuntos maliciosos: Los correos de phishing engañan a los empleados para que abran documentos maliciosos o accedan a enlaces que llevan a sitios web de los atacantes. Cuando se inician macros o vulnerabilidades de scripts, comienza el cifrado o se activan shells de puerta trasera. A pesar de que los empleados reciben capacitación para no hacer clic en enlaces o proporcionar información personal en correos electrónicos, el phishing sigue siendo un método confiable para que los delincuentes accedan a la red de una empresa. Las empresas que utilizan filtros de contenido y gateways de correo sofisticados reducen considerablemente estas tasas de penetración.
2. Vulnerabilidades de software explotadas: El ransomware busca marcos, sistemas operativos o interfaces de desarrollo/pruebas vulnerables que no han sido eliminados. Mediante paquetes o comandos cuidadosamente construidos, los delincuentes obtienen control y ejecutan el código, instalando el ransomware sin que el usuario lo sepa. Estos ángulos de infiltración se limitan mediante parches oportunos, escaneo de vulnerabilidades y segmentación. Un solo parche omitido puede derribar estructuras completas, como se ha evidenciado en ataques a gran escala.
3. Ataques a Remote Desktop Protocol (RDP): Credenciales inadecuadas o recicladas para sesiones de RDP permiten a los atacantes adivinar o forzar el acceso a las sesiones. Una vez que infiltran una red, los atacantes se mueven rápidamente y propagan el ransomware a varios recursos compartidos o controladores de dominio. Por lo tanto, medidas como el uso de múltiples factores para autenticar el acceso, limitar el acceso RDP a VPN o simplemente desactivar el RDP externo minimizan significativamente los riesgos. Esta sinergia hace imposible el acceso solo con una contraseña robada o adivinada.
4. Descargas drive-by y anuncios maliciosos: Sitios web de phishing o servidores de anuncios contaminados entregan cargas útiles a navegadores que no han sido actualizados. Pueden visitar una página infectada o ver accidentalmente un anuncio, y como resultado, activan scripts ocultos que descargan el ransomware. El antivirus en el endpoint o los navegadores nuevos pueden reconocer estos scripts como maliciosos, pero los empleados o sistemas sin actualizaciones son vulnerables. Combinado con filtrado de contenido sofisticado, este enfoque reduce en gran medida las posibilidades de infiltración drive-by.
5. Compromiso de la cadena de suministro: Los delincuentes también manipulan actualizaciones de software de proveedores y distribuyen parches infectados o dependencias de librerías. Una vez que la organización obtiene la actualización “oficial”, el malware oculto se ejecuta. Este método de infiltración aumentó significativamente, especialmente en incidentes de infiltración de cadena de suministro de alto impacto. Para prevenir la infiltración en la cadena de suministro, verificar cada paquete de software, adoptar verificaciones de firma de código y escanear nuevas librerías introducidas son algunas de las soluciones.

Tipos de ransomware

Los tipos de ransomware han evolucionado, y cada tipo tiene diferentes modos de cifrado, infiltración o extorsión. Algunos ransomware congelan la pantalla y otros filtran información. Conocer estas diferencias ayuda a entender cómo construir defensas adecuadas. En la siguiente sección, describimos siete áreas significativas que se centran en el desarrollo y diversificación del ransomware.

1. Crypto ransomware: Estas variantes cifran los datos del usuario con algoritmos robustos y obligan a las víctimas a comprar la clave de descifrado. Normalmente, los delincuentes buscan infectar directorios completos o recursos compartidos empresariales importantes para causar la mayor disrupción posible. Si las copias de seguridad también se ven afectadas, o no existen, las perspectivas de recuperación son bastante sombrías. Un número significativo de olas de infiltración de alto perfil se centran en extorsiones basadas en cifrado.
2. Locker ransomware: A diferencia del cifrado, donde los usuarios quedan fuera de sus sistemas, los tipos locker congelan un sistema operativo. La amenaza implica que la accesibilidad normal debe ser restaurada pagando, incluso si los archivos no están cifrados. Sin embargo, la pérdida de funcionalidad del sistema puede ser tan devastadora para los lugares de trabajo como para individuos y empresas. Por ello, es posible que parte de los datos aún sean recuperables si una forma avanzada de análisis forense puede desbloquear las variantes, ya que no pasan por cifrado.
3. Ransomware de doble extorsión: Los ciberdelincuentes roban datos antes de cifrarlos y amenazan con divulgar o vender la información si no se cumplen sus demandas. Esta sinergia aumenta la presión, ya que las copias de seguridad por sí solas no protegerán los datos públicos de una filtración. Suelen compartir muestras en sitios web que filtran datos, lo que presiona a las organizaciones en términos de reputación o consecuencias legales. En la doble extorsión, incluso si las víctimas pagan el rescate, no pueden estar seguras de que sus datos permanecerán privados, ya que los delincuentes pueden incumplir su palabra.
4. Ransomware-as-a-Service (RaaS): En los modelos RaaS, actores de amenazas experimentados ofrecen sus herramientas, que son kits de ransomware, a afiliados con bajas capacidades técnicas. Los afiliados atacan objetivos, envían parte del dinero extorsionado al grupo y amplían los objetivos a infectar. Esta colaboración fomenta una economía floreciente de roles especializados de infiltración, desde brokers de acceso inicial hasta negociadores. RaaS conduce a un aumento en el número de ataques de ransomware a nivel mundial debido al menor nivel de habilidad requerido para ejecutar estos ataques.
5. Ransomware fileless: Las variantes fileless operan principalmente en memoria y no son intensivas en recursos, lo que significa que no escriben muchos datos en disco. Algunos de estos procesos pueden no ser detectados por antivirus o programas de escaneo convencionales. Los autores de malware utilizan utilidades del sistema, como PowerShell, para entregar los comandos de cifrado de forma encubierta. Para contrarrestar estos ángulos de infiltración, las organizaciones requieren detección sofisticada basada en comportamiento junto con acceso restringido a scripts.
6. Ransomware móvil: Diseñadas específicamente para smartphones o tablets, estas variantes bloquean a los usuarios fuera de sus dispositivos o cifran archivos almacenados localmente. Los ciberdelincuentes pueden distribuir aplicaciones peligrosas usando mercados de terceros o incorporarlas en actualizaciones. Mediante el uso de datos personales o credenciales empresariales en el dispositivo, obligan a pagar por la restauración. Un muro fuerte de descarga de aplicaciones y copias de seguridad regulares del dispositivo dificultan significativamente el éxito de la infiltración móvil.
7. Ransomware wiper: Un subconjunto destructivo es aquel que simplemente elimina o daña los datos en lugar de proporcionar el descifrado tras el pago. Aunque puede parecerse a las comunicaciones tradicionales de ransomware, el objetivo real puede ser la destrucción o desorientación. Los ciberdelincuentes pueden usar variantes wiper para interrumpir operaciones empresariales o incluso sabotear infraestructuras esenciales. Debido a la falta de una clave de recuperación, la única esperanza de restauración de datos es mediante copias de seguridad y un plan robusto de respuesta a incidentes.

Más información: Tipos de ataques de ransomware

Vectores comunes de ataque de ransomware

Además de rutas de infiltración como el phishing o aplicaciones sin parches, el ransomware utiliza múltiples vectores y formas de penetración y escalada. Los hackers exploran continuamente las vulnerabilidades de las empresas, incluidas credenciales robadas y conexiones de socios explotadas. Aquí, describimos cinco de los caminos más comunes que utilizan y explicamos cómo los delincuentes pasan de la etapa inicial de una brecha al cifrado de datos.

1. Phishing e ingeniería social: Apunta al personal a través de correos electrónicos que contienen enlaces a sitios web falsos, otros correos electrónicos o archivos adjuntos infectados con macros que lanzan el ransomware. Estos mensajes se personalizan aún más para parecer que provienen de RRHH, finanzas o cualquier proveedor conocido. Tras la ejecución del código, el virus se replica rápidamente, apuntando a directorios locales o recursos compartidos mapeados. Los filtros de spam, la concienciación del usuario y el uso de autenticación de dos factores reducen la tasa de éxito de la infiltración.
2. Credential stuffing y password spraying: Con una gran cantidad de cuentas filtradas en Internet, los ciberdelincuentes intentan acceder a VPN corporativas o acceso remoto usando las mismas credenciales. Una vez identificado el objetivo, inyectan el malware en la red y, en la mayoría de los casos, lo camuflan como un usuario legítimo. Medidas como políticas de contraseñas robustas o el cambio forzado de contraseña en un corto período también minimizan los ángulos de infiltración. Además, la presencia de MFA y la reducción del contexto del dispositivo impactan en las tasas de éxito de los ataques basados en contraseñas.
3. Kits de explotación y malvertising: Los hackers primero inyectan el código de explotación en los anuncios o sitios web que controlan y luego redirigen a los usuarios a sus destinos elegidos. En el siguiente paso, los navegadores o complementos vulnerables ejecutan el ransomware. También es importante señalar que incluso sitios de noticias o comercio electrónico reputados pueden ser víctimas de alojar anuncios si las redes publicitarias están comprometidas. Mediante el uso de filtros de contenido, parches en navegadores y limitación del uso de complementos, las organizaciones previenen estos intentos de infiltración.
4. Servicios de escritorio remoto y vulnerabilidades de VPN: RDP o soluciones VPN antiguas con CVEs conocidos siguen mal configurados y son las principales vías para un ataque exitoso. Estos endpoints son forzados por fuerza bruta o explotados por los atacantes para descargar y ejecutar ransomware directamente en los servidores objetivo. Sin configuraciones robustas como bloqueos de cuentas o actualizaciones de firmware, esta infiltración sigue siendo sencilla. Agregar una segunda capa de protección segmentando RDP detrás de una VPN corporativa con MFA también reduce estas brechas.
5. Compromiso de la cadena de suministro: Las actualizaciones de software de un proveedor o librería de confianza son modificadas por delincuentes para permitirles introducir módulos maliciosos en su entorno. Cuando las actualizaciones se integran en sus sistemas de parches o pipelines de compilación, entonces se inicia el código. Los grupos RaaS también compran acceso a proveedores comprometidos, conectando así la infiltración a objetivos corporativos aún mayores. Las evaluaciones de riesgo de proveedores, verificaciones de firma de código y escaneo previenen estas vías ocultas de infiltración.

¿Cómo funciona el ransomware?

Conocer en detalle cómo funciona el ransomware ayuda a explicar cómo se oculta, qué tan rápido evoluciona y cuán peligroso es. Los hackers utilizan una combinación de técnicas de infiltración y procedimientos de cifrado junto con las infames demandas de rescate, que pueden ser etéreas pero poderosas. Aquí identificamos cinco procesos clave que explican este ciclo vicioso a continuación:

1. Acceso inicial y entrega de la carga útil: Los delincuentes identifican un punto de entrada, ya sea mediante esquemas de phishing, paquetes de explotación o credenciales robadas, e introducen el malware. Esta carga útil suele comprobar la arquitectura del sistema, la presencia de antivirus o los privilegios del usuario. Si encuentra un entorno favorable, aumenta o crea submódulos. En esta etapa, la detección temprana puede interrumpir toda la cadena de infiltración.
2. Escalada de privilegios y movimiento lateral: Dentro del sistema objetivo, los delincuentes aprovechan brechas o contraseñas predeterminadas para pasar del nivel de usuario al de administrador. Luego se mueven por la red, buscando recursos compartidos, servidores de respaldo o controladores de dominio. Al desactivar registros de seguridad o agentes EDR, enmascaran el progreso de la infiltración. Así, la sinergia garantiza que la infiltración sea amplia antes de que comience el cifrado, logrando la máxima disrupción.
3. Exfiltración de datos y doble extorsión: En los ataques modernos, los registros sensibles se exfiltran a otros servidores antes de que ocurra el cifrado. Los ciberdelincuentes exigen un rescate a los objetivos a cambio de no divulgar la información robada. Esta sinergia intensifica las negociaciones de rescate: las copias de seguridad no serán suficientes si la filtración de datos se vuelve probable. La sinergia combina los conceptos de infiltración y extorsión, obligando a las organizaciones objetivo a considerar tanto los costos operativos como reputacionales.
4. Cifrado y bloqueo: Una vez que el malware está en su lugar, la rutina maliciosa cifra los archivos objetivo utilizando algoritmos de cifrado robustos como AES o RSA, haciendo que los archivos sean inaccesibles. Los atacantes dejan una nota de rescate solicitando el pago en criptomonedas y, a menudo, establecen un límite de tiempo. Este cifrado también puede afectar las copias de seguridad si los delincuentes notan que están conectadas. Con el tiempo, se vuelve más agresivo y comienza a interrumpir los esfuerzos del sistema de verificación de código para restaurarse.
5. Negociación de rescate y posible descifrado: En este caso, las víctimas no tienen otra opción que pagar el rescate o restaurar desde copias de seguridad. Los delincuentes suelen liberar la herramienta de descifrado tras recibir el pago, pero la calidad de la herramienta puede ser cuestionable. Algunos delincuentes filtran los datos de todos modos, o las claves proporcionadas no funcionan correctamente, agravando la situación. Contar con una copia de seguridad offline o aislada y planes de restauración probados puede evitar el pago a los delincuentes desde el principio.

Etapas de un ataque de ransomware

Aunque los detalles de la infiltración pueden variar según el tipo de variante de ransomware o el entorno en el que opera, la mayoría de los ataques de ransomware siguen un conjunto de etapas comunes. Esto significa que detenerlo al principio, como bloquear el primer intento de explotación, puede evitar que la situación empeore. A continuación, hemos descrito las fases comunes desde el reconocimiento hasta el paso final de extorsión y detallado cómo los delincuentes logran sistemáticamente el éxito del cifrado.

1. Reconocimiento: Los atacantes exploran redes, obtienen contraseñas de brechas de datos o investigan perfiles de empleados en LinkedIn. Buscan objetivos susceptibles como servidores sin parches, puertos abiertos o personas con acceso a datos. Esta sinergia revela activos de alto valor, como bases de datos financieras o controladores de dominio. Mediante un análisis cuidadoso del entorno, los delincuentes pueden idear formas y medios para penetrar en una organización.
2. Compromiso inicial: Basándose en estos hallazgos de reconocimiento, los delincuentes lanzan malware o buscan credenciales de acceso. Pueden hacerse pasar por personal o aprovechar vulnerabilidades conocidas en el software. Tras el primer punto de entrada, como los escritorios, los atacantes recopilan más detalles del entorno. Esto permite establecer una infiltración más profunda o movimientos laterales.
3. Escalada de privilegios y movimiento lateral: Hoy en día, los atacantes aprovechan vulnerabilidades locales o fuerza bruta simple para obtener permisos de dominio o root. También escanean unidades mapeadas, recursos compartidos de red o APIs en la nube en busca de información de alto valor. Al controlar o eludir los registros de seguridad, evitan que la infiltración sea detectada por los programas de detección. Esta sinergia significa que un usuario comprometido puede afectar segmentos completos si no existe microsegmentación.
4. Exfiltración de datos: Utilizando privilegios administrativos, los delincuentes transfieren información silenciosamente a servidores fuera de la red corporativa. Este paso los prepara para una estrategia de doble extorsión en la que amenazan con filtrar datos si no se paga el rescate. También ayuda a los delincuentes a determinar los posibles montos de rescate, así como la vulnerabilidad de los datos. Los objetivos a menudo desconocen la pérdida de datos hasta que reciben notas de rescate o se detecta tráfico inusual.
5. Cifrado y demanda de rescate: Por último, el código cifra archivos importantes con una clave robusta y deja un mensaje sobre cómo descifrar los archivos y la cantidad de dinero requerida. Los actores de amenazas suelen solicitar el pago en criptomonedas y establecen un plazo corto o amenazan con divulgar los datos robados. En casos donde también se pierden las copias de seguridad o el personal no está preparado, el efecto inmoviliza las operaciones durante todo el día. Esta etapa final sella el éxito de la infiltración a menos que el ataque sea detectado y detenido o los sistemas infectados sean respaldados rápidamente fuera de línea.

Métodos de ataques de ransomware

Los delincuentes utilizan una variedad de tácticas y estrategias de infiltración y extorsión dirigidas a diferentes aspectos o comportamientos del personal. De este modo, al analizar estos métodos de ransomware, las organizaciones pueden mejorar sus defensas en cada punto de infiltración. Aquí presentamos cinco ejemplos para demostrar cuán versátiles y flexibles pueden ser los atacantes modernos:

1. Malspam y spear phishing: El correo electrónico sigue siendo el método de infiltración más común hasta la fecha, especialmente en campañas masivas o dirigidas, que aprovechan empleados poco sofisticados que descargan archivos adjuntos maliciosos o hacen clic en enlaces. El spear phishing implica el envío de mensajes que contienen información que los delincuentes han obtenido de redes sociales o hackeos previos. Una vez que se ejecutan macros o kits de explotación, comienza la rutina de cifrado o exfiltración. Para contrarrestar, el éxito de la infiltración se reduce mediante el uso de filtros de correo avanzados, concienciación del personal y escaneo de enlaces.
2. Kits de explotación y compromiso drive-by: El malware se inyecta en sitios web objetivo o infectados o a través de malvertising. Cualquier navegador o complemento que no haya sido actualizado con los últimos parches se convierte en una puerta abierta tan pronto como el personal accede al sitio. Incluso grandes redes publicitarias pueden ocasionalmente entregar anuncios maliciosos en portales de sitios legítimos. Estos ángulos de infiltración se restringen severamente mediante una gestión estricta de parches y un uso limitado de complementos.
3. Servicios remotos y ataques RDP: Los hackers exploran proactivamente endpoints RDP o conexiones SSH con el objetivo de usar credenciales predeterminadas o un CVE descubierto. Si el atacante obtiene privilegios de administrador de dominio o acceso root al sistema operativo, puede instalar rutinas de cifrado a nivel de sistema. Implementar medidas como autenticación multifactor o restringir el acceso remoto a recursos detrás de VPN o zero-trust reduce significativamente la probabilidad de ciberataques exitosos. Revisar los registros repetidamente en busca de entradas similares es otra forma de identificar ataques de fuerza bruta en una etapa temprana.
4. Software troyanizado y compromiso de terceros: Los actores maliciosos infiltran actualizaciones de software genuinas como drivers, plugins o librerías e integran código de ransomware en ellas. Las víctimas, creyendo que descargan del proveedor o de un sitio espejo, ejecutan las actualizaciones, activando así los procedimientos de infiltración. Esto demuestra perfectamente cómo el compromiso de la cadena de suministro resulta en consecuencias extendidas. Examinar firmas de código, implementar una gestión de riesgos de proveedores sólida o usar escaneo en pipelines derrota estos vectores de infiltración encubiertos.
5. Pivote lateral desde otro malware: A veces, la infiltración comienza con un troyano o keylogger menos conspicuo que recopila sigilosamente nombres de usuario o contraseñas. Los atacantes luego proceden al proceso real de cifrado una vez que han identificado datos valiosos. El proceso de cifrado de ransomware comienza antes de que el personal se dé cuenta de que algo anda mal. Las soluciones EDR basadas en comportamiento pueden detectar un pivote anómalo, deteniendo la infiltración antes del último golpe.

Ejemplos de ataques de ransomware

Cuando se trata de ransomware, no hay duda de lo que los delincuentes son capaces de hacer: pueden paralizar operaciones o exigir millones de dólares por su liberación. Por lo tanto, es importante señalar que incluso las organizaciones mejor dotadas pueden ser sorprendidas si un ángulo de infiltración queda sin protección. En la siguiente sección, se presentan cuatro casos para arrojar luz sobre la gravedad de la infiltración, las reacciones de las empresas y los resultados.

1. LoanDepot (2024): En enero, uno de los mayores prestamistas hipotecarios, LoanDepot, informó de un ataque de ransomware que ocurrió del 3 al 5 de enero, que implicó el cifrado de datos y el robo de información sensible de clientes, lo que resultó en la interrupción del servicio para 16.6 millones de consumidores. Alphv/BlackCat se atribuyó el ataque, lo que amplía el historial del grupo en brechas significativas. El reciente ataque a LoanDepot es un ejemplo que demuestra que las empresas del sector financiero que poseen grandes cantidades de datos de usuarios son especialmente atractivas para los extorsionadores.
2. Veolia (2024): Veolia North America, una empresa de reciclaje de agua y energía, declaró que había sufrido un ataque de ransomware que dejó algunos de sus sistemas internos fuera de servicio. Aunque las operaciones de tratamiento de agua no se vieron afectadas, los servicios de facturación sí lo fueron, lo que causó molestias a los clientes. Esto llevó a notificaciones a los usuarios tras experimentar una brecha parcial de datos. Esto demuestra que hay un aumento en el objetivo de proveedores de infraestructuras críticas como forma de forzar el pago rápido del rescate exigido.
3. Ascension (2024): Ascension, un sistema de salud con sede en St. Louis, reveló en mayo que el ransomware afectó los registros electrónicos de salud (EHR) y algunas líneas telefónicas. Durante más de un mes, los pacientes experimentaron interrupciones en la programación y confusión en la solicitud de medicamentos. Algunos sitios incluso redirigieron ambulancias mientras el personal enfrentaba su semana más ocupada registrada. La sinergia demuestra cómo los incidentes peligrosos de ransomware interrumpen la atención médica crítica, lo que no solo es una amenaza para la estabilidad de los hospitales sino también para la vida de los pacientes.
4. Gobierno de la ciudad de Cleveland (2024): En junio, los hackers cerraron la ciudad de Cleveland, clausurando el ayuntamiento durante 11 días tras un ataque que afectó los sistemas de facturación y los procedimientos administrativos oficiales. Los empleados se apresuraron a aislar los ordenadores afectados e intentar recuperar los datos de copias. La ciudad dijo que no pagaría el rescate aunque no pudo afirmar si los datos fueron robados. Esta sinergia demuestra cómo incluso los ataques dañinos de ransomware pueden paralizar todos los servicios municipales, afectando la vida diaria de los residentes.

¿Cómo prevenir ataques de ransomware?

Protegerse contra la infiltración requiere no solo mejores herramientas, sino también personal bien informado, configuraciones seguras y copias de seguridad probadas. Por eso, ninguna medida por sí sola es suficiente, ya que los delincuentes siempre están cambiando sus estrategias. Aquí hay cinco medidas fundamentales que reducen drásticamente el riesgo de infiltración y aceleran la remediación posterior al incidente:

1. Capacitación integral del personal: El phishing y la ingeniería social siguen siendo los métodos más populares para que los atacantes se infiltren en las organizaciones. Las sesiones de capacitación periódicas y los simulacros de phishing ayudan a los empleados a mantenerse alerta ante posibles amenazas. Aproveche otras medidas de seguridad para garantizar que solo se utilicen frases de contraseña complejas en lugar de simples y fáciles de adivinar. Esta sinergia reduce el riesgo de que clics inocentes de usuarios o contraseñas reutilizadas pongan en peligro redes completas.
2. Obligatoriedad de la autenticación multifactor: Aunque los delincuentes adivinen u obtengan contraseñas, las autenticaciones de segundo factor (como códigos enviados al teléfono o tokens físicos de seguridad) ralentizan a los intrusos. MFA es altamente recomendable al iniciar sesión en cuentas de administrador o dominio para conexiones VPN remotas o RDP. La sinergia reduce significativamente la probabilidad de éxito del credential stuffing. Con el tiempo, otras soluciones sofisticadas, como el inicio de sesión único combinado con políticas basadas en contexto, mejoran la autenticidad.
3. Aplicación regular de parches y escaneo de vulnerabilidades: Implementar actualizaciones de sistema operativo, aplicaciones y firmware de manera oportuna mitiga los ángulos de infiltración identificados. El escaneo regular ayuda a detectar CVEs recién divulgados o vulnerabilidades zero-day. Estas tareas también deben incluir recursos efímeros como contenedores o servidores de desarrollo/pruebas. Al asociar el escaneo con las integraciones de pipeline, desarrollo y operaciones pueden abordar vulnerabilidades en el proceso de desarrollo antes de su lanzamiento a producción.
4. Microsegmentación y arquitectura zero-trust: Dividir las redes en segmentos evita el movimiento lateral si los atacantes penetran un servidor, endpoint o recurso en la nube. Zero-trust verifica la identidad y el permiso de cada solicitud, evitando así el acceso no autorizado mediante credenciales robadas o adivinadas. La implementación de perímetros definidos por software o reglas VLAN altamente restrictivas proporciona ventanas mínimas de infiltración. Así, la segmentación, combinada con zero trust, garantiza que la infiltración no se propague a todo el entorno.
5. Copias de seguridad aisladas y simulacros de desastre: Es imposible prevenir todo tipo de infiltración incluso con las medidas de seguridad más robustas, por lo que es esencial contar con una copia de seguridad offline. Verifique periódicamente los puntos de restauración para asegurarse de que los datos estén actualizados y no hayan sido dañados. Si los delincuentes cifran la producción, las copias de seguridad offline pueden usarse para restaurar rápidamente sin pagar un rescate. De este modo, mediante el uso de runbooks de incidentes, el personal puede gestionar una infiltración real con facilidad, reduciendo así la ocurrencia de desorden.

Detección y eliminación de ransomware

La prevención del ransomware no siempre es infalible, y la infiltración puede lograrse durante la explotación de una vulnerabilidad zero-day o un ataque de ingeniería social. La detección temprana de código malicioso puede detener el cifrado a mitad de proceso, salvando así todo un entorno. Aquí hay cinco pasos para reconocer rápidamente comportamientos peligrosos y coordinar cómo eliminar el ransomware después de que ocurra una infección:

1. Protección de endpoint basada en comportamiento: Un antivirus basado solo en firmas suele evolucionar lentamente ya que el código cambia rápida y frecuentemente. En cambio, las soluciones EDR avanzadas observan comportamientos en tiempo de ejecución, como un nuevo proceso que cifra muchos archivos a la vez. Si una anomalía se correlaciona con un patrón de infiltración reconocido, se maneja aislándola o poniéndola en cuarentena. Esta sinergia significa que variantes fileless o incluso formas completamente nuevas de programas maliciosos se detectan en tiempo real.
2. Monitoreo de anomalías en la red: Transferencias de datos fuera del horario laboral normal o un uso repentino de ancho de banda elevado indican exfiltración o cifrado masivo. Las herramientas SIEM o NDR pueden detectar estos patrones para notificar al personal que investigue más a fondo. Examinar la distribución del tráfico y las conexiones este-oeste puede revelar las etapas iniciales del pivote de infiltración. Esto impide que el atacante obtenga una posición y cifre todos los archivos o transmita todos los archivos robados.
3. Herramientas de escaneo de ransomware: Algunos programas antiransomware están diseñados para buscar activamente algoritmos de cifrado específicos, operaciones de renombrado o extensiones de archivo que suelen estar bloqueadas. También pueden comprobar escrituras parciales de ransomware o cambios en las copias de volumen sombra. Si se activan, eliminan el proceso que causó el problema o restauran los archivos alterados mediante journaling. Además del antivirus estándar, estos escáneres específicos reducen significativamente el tiempo de infiltración.
4. Contención y restauración automatizadas: Una vez que se activa un marco de automatización, puede apagar los hosts infectados y denegar el acceso a la red, deteniendo así el movimiento lateral. Algunas soluciones sofisticadas ofrecen capacidades de ‘rollback’ para capturar el estado del sistema y permitir al personal devolver el sistema a un estado anterior a la infección. Al asociar la contención con la fase de detección, se evita que los delincuentes se muevan lateralmente o exfiltren datos. Esto ahorra tiempo en la ventana de eventos, acortando así el impacto general.
5. Eliminación de ransomware y limpieza forense: Después de la contención, siempre queda algún código residual, que debe ser neutralizado, los archivos del sistema deben ser revisados y todos los posibles disparadores eliminados. Esto puede incluir el escaneo de programas de inicio, programas programados o registros en busca de enlaces maliciosos. En caso de cifrado parcial, los archivos pueden recuperarse de copias de seguridad o descifrarse utilizando herramientas de descifrado. Un análisis profundo de ransomware posterior al evento ayuda a perfeccionar futuras reglas de detección y a parchear ángulos de infiltración.

Prevenga ataques de ransomware con SentinelOne

La detección autónoma de amenazas con IA de SentinelOne puede ayudar a las organizaciones a combatir malware, ransomware, phishing y todo tipo de amenazas cibernéticas. Su motor de seguridad ofensiva con rutas de explotación verificadas puede detectar cuando algo está mal, descubrir nuevos ángulos de ataque y mitigarlos antes de que puedan ser potencialmente explotados.

La protección avanzada de endpoint de SentinelOne puede proteger máquinas virtuales, cargas de trabajo, nubes, contenedores, usuarios e identidades. Purple AI, un analista de ciberseguridad de IA generativa, puede descubrir información única sobre atacantes y pipelines de seguridad. Obtendrá la mejor seguridad para pipelines CI/CD y una cobertura de seguridad adecuada. SentinelOne puede detectar más de 750+ tipos diferentes de secretos y prevenir fugas de credenciales en la nube.

Puede identificar cuentas inactivas o dormidas y escanear procesos maliciosos antes de que puedan tomar el control, secuestrar cuentas o escalar privilegios. SentinelOne puede ejecutar escaneos activos y pasivos en segundo plano y operar 24/7, enviándole alertas automáticamente cuando surjan problemas y elimina falsos positivos.

También cuenta con integración con Snyk y viene con un CNAPP holístico sin agentes que puede proporcionar protección integral. Al utilizar las soluciones de SentinelOne, también garantiza el cumplimiento continuo de marcos regulatorios como SOC 2, NIST, HIPAA, CIS Benchmark y otros. Las organizaciones también pueden combatir ataques a Active Directory y Entra ID con las capacidades de la plataforma.

Realizar el recorrido

Detección y respuesta en endpoints impulsadas por IA.

Conclusión

El ransomware sigue siendo una de las amenazas más peligrosas para las empresas modernas, ya que pone en riesgo los datos, los procesos de negocio y la confianza de los clientes. Cuando se trata de métodos de infiltración como phishing, kits de explotación o movimiento lateral, es mucho más efectivo analizar los enfoques a nivel individual y desarrollar múltiples capas de protección. Sin embargo, detener la infiltración es solo una parte de la solución; identificar actividades maliciosas durante un ataque y contar con sistemas de respaldo sólidos constituyen los otros dos pilares. Ya sea un entorno en la nube de corta duración o un servidor local en uso durante años, el escaneo, la capacitación del personal y la implementación de microsegmentación minimizan significativamente el número de vectores de entrada.

Ninguna solución por sí sola es suficiente cuando los delincuentes se adaptan a nuevas estrategias de infiltración, como la doble extorsión o la incorporación de funciones avanzadas de gusano. Sin embargo, las mejoras continuas basadas en políticas claramente definidas, copias de seguridad comprobadas y soluciones EDR adaptativas mantienen las amenazas de infiltración bajo control. Cuando se combinan con un escáner de ransomware dedicado o una plataforma de protección de endpoint basada en IA como SentinelOne, su entorno obtiene detección en tiempo real junto con remediación automática.