¿Qué es el ransomware? Ejemplos, prevención y detección

Se ha producido un aumento de los ataques de ransomware, con más de 5414 ataques sufridos por organizaciones de todo el mundo en 2024, lo que supone un incremento del 11 % con respecto al año anterior. Esta escalada se debe al phishing, los kits de explotación y los servicios en la nube susceptibles que los delincuentes aprovechan para perpetrar actividades fraudulentas. Las pequeñas y grandes empresas corren el riesgo de sufrir infiltraciones, pérdidas de datos y tiempos de inactividad prolongados, lo que se traduce en enormes pérdidas. Por ello, es importante que las empresas mejoren su comprensión del ransomware y desarrollen medidas para contrarrestar los ataques de este tipo.

En este artículo, definiremos qué es el ransomware y cómo supone una amenaza para las organizaciones empresariales. A continuación, analizaremos las implicaciones para las organizaciones, explicaremos la historia del ransomware y describiremos los diferentes modos de infección. En esta sección, aprenderá sobre los diferentes tipos de ransomware y las técnicas que utilizan los ciberdelincuentes, así como ejemplos de casos famosos de ransomware. Por último, pero no menos importante, analizaremos qué es un ataque de ransomware, proporcionaremos consejos sobre cómo prevenir los ataques de ransomware y cómo SentinelOne mejora cada uno de ellos.

¿Qué es el ransomware?

El ransomware es un tipo de malware que bloquea o cifra los archivos de la víctima y luego le exige que pague para obtener la clave de descifrado. El significado de ransomware se ha diversificado hasta incluir desde simples bloqueadores de pantalla hasta los últimos y sofisticados criptovirus que roban datos de forma sistemática y luego amenazan con filtrar la información. El exigencias de rescate globales de 2024 se estimaron en 2,73 millones de dólares de media, lo que ha puesto a las empresas en el dilema de perder sus datos o pagar una cuantiosa suma.

La infiltración es un acto agresivo en el que el atacante aprovecha una debilidad del software objetivo o los hábitos de sus usuarios. En términos sencillos, la definición de ransomware incluye una amenaza disruptiva que no solo paraliza las operaciones de la organización, sino que también erosiona la confianza de los consumidores. Para definir eficazmente el ransomware, hay que comprender su impacto, desde la infiltración inicial hasta los distintos niveles de cifrado. Pasemos, pues, a la siguiente sección.

Impacto del ransomware en las empresas

Un solo ataque de ransomware puede causar daños importantes a una organización: detener la producción, bloquear los datos en las bases de datos o impedir que los trabajadores accedan a las aplicaciones. El rescate medio ha aumentado, lo que indica que los delincuentes están más seguros de obtener grandes pagos. Independientemente de si se trata de la filtración de información de clientes o de una interrupción que paraliza las operaciones comerciales, el impacto trasciende las simples pérdidas monetarias. A continuación se presentan cuatro pérdidas significativas que sufren las empresas cuando son víctimas de ataques de ransomware:

1. Interrupción operativa: Cuando se bloquean archivos o servidores críticos, el personal no puede trabajar en las ventas a los clientes, los registros de los empleados o las aplicaciones de gestión de la cadena de suministro, y las líneas de fabricación se paralizan. Cualquier interrupción, por pequeña que sea, provoca retrasos en los pedidos o la cancelación de servicios, lo que da lugar a una pérdida de confianza por parte de los clientes. La recuperación del ransomware puede llevar varios días o semanas en caso de que las copias de seguridad estén desactualizadas o si los datos también están cifrados. Esta brecha puede provocar graves daños a la reputación y pérdidas o déficits de ingresos.
2. Pérdida de datos y divulgación de violaciones: Los recientes ataques de ransomware también tienden a incluir el robo de datos. En este escenario, los atacantes exigen dinero a las organizaciones afectadas a cambio de no divulgar cierta información sobre los clientes o socios. Si se produce una filtración, pueden entrar en juego las normas de divulgación obligatoria, lo que puede dar lugar a medidas reglamentarias y sanciones. La combinación de escenarios de infiltración y filtración pública describe las amenazas potenciales que puede suponer el ransomware.
3. Daños financieros y reputacionales: Aparte de la pérdida financiera directa en forma de rescate, estos ciberataques pueden implicar costosos análisis forenses, la reconstrucción del sistema y, en algunos casos, demandas colectivas. Los clientes pueden cambiar a otras empresas que no tengan problemas similares en el futuro, y los inversores pueden dudar de la capacidad de los directivos para gestionar los riesgos. Para evitar esta infiltración, las aseguradoras pueden optar por aumentar las tarifas de las primas o incluso cancelar las pólizas de seguro. Al final, reconstruir una imagen de marca dañada lleva tiempo, a veces incluso años.
4. Erosión de la confianza de las partes interesadas y los clientes: Una vez detectada una infracción, personas como la junta directiva, la autoridad reguladora o los clientes clave comenzarán a dudar del nivel de seguridad. La falta de confianza es costosa y puede dar lugar a la rescisión de contratos o a requisitos más estrictos por parte del socio. Para tranquilizarlos, hay que aportar pruebas de mejores controles, análisis continuos y, por último, pero no menos importante, una formación adecuada del personal. Cuando una organización invierte en un ransomware potente en materia de ciberseguridad, genera aún más seguridad a largo plazo.

Historia del ransomware

Los orígenes del ransomware se remontan a unos sencillos troyanos extorsionadores que aparecieron a finales de la década de 1980, hasta los ataques más avanzados basados en el cifrado. Estos ataques evolucionaron a lo largo de los años y, con la ayuda de sofisticadas técnicas de cifrado y estrategias de ocultación, se convirtieron en una de las principales amenazas para el mundo de la ciberdelincuencia. En las siguientes secciones, identificamos cuatro etapas para demostrar cómo los delincuentes han evolucionado sus estrategias.

1. El troyano PC Cyborg (finales de la década de 1980): Desarrollado en 1989, el "troyano del sida" o "PC Cyborg" infectaba el ordenador y luego exigía un pago para restaurar su funcionalidad. Este fue el primer caso registrado que cambió la definición de ataque de ransomware: software que cifra datos específicos y exige un pago. Aunque relativamente rudimentario en el contexto de las definiciones contemporáneas, sentó las bases conceptuales de la extorsión moderna. El vector de ataque era bastante simple: el virus se propagaba a través de disquetes infectados que se entregaban a los participantes en una conferencia.
2. Ransomware de cifrado (principios de la década de 2000): A principios de la década de 2000 aparecieron tipos más sofisticados de ransomware, que cifraron los datos utilizando algoritmos modernos como RSA o AES. Estos ejemplos de ransomware eran difíciles de evitar, ya que la detección de los antivirus era lenta. Los atacantes solicitaban el pago a través de los primeros medios digitales o transferencias bancarias, lo que dificultaba el rastreo del dinero por parte de las fuerzas del orden. Esto condujo al desarrollo de otras formas de amenazas a la seguridad, y los expertos en seguridad comenzaron a referirse a ellas con términos como "cripto-ransomware", que se asocia con algoritmos complejos.
3. Nuevos métodos de extorsión: En la década de 2010 se produjo un aumento en el avance de las técnicas utilizadas para perpetrar el delito, incluido el WannaCry en 2017. Este ataque basado en un gusano cerró hospitales y empresas en cuestión de horas en todo el mundo. Los ciberdelincuentes utilizaron exploits robados a la NSA para demostrar que incluso los más poderosos pueden crear oleadas implacables de ataques de ransomware. Además, surgió el RaaS (Ransomware as a Service), que permite a los recién llegados entrar en el negocio sin necesidad de tener experiencia.
4. Doble extorsión y uso geopolítico (de la década de 2020 a 2025): Hoy en día, los ciberdelincuentes roban datos inicialmente y amenazan con hacerlos públicos si no se cumplen sus exigencias, lo que se conoce como doble extorsión. Esto hace que las organizaciones consideren los costes que podrían incurrir en caso de fuga de datos, incluso si disponen de copias de seguridad. Sin embargo, las campañas patrocinadas por los Estados a veces utilizan el ransomware con fines de espionaje o destructivos, lo que dificulta distinguir entre los objetivos monetarios y políticos. En la actualidad, las amenazas son aún más sofisticadas que antes debido al uso de herramientas de sigilo, inteligencia artificial y herramientas muy específicas.

¿Cómo se propaga el ransomware?

Explicar el significado del término "ruta de infección del ransomware" muestra que hay varias formas en las que el ransomware puede infiltrarse en un sistema, desde correos electrónicos no deseados con archivos adjuntos hasta soluciones en la nube comprometidas.

Los ciberdelincuentes adaptan sus estrategias a las vulnerabilidades de cada objetivo, como servidores no seguros o empleados crédulos. A continuación se presentan cinco formas en que los delincuentes distribuyen el código del ransomware y lo integran en la infraestructura de una organización:

1. Correos electrónicos de phishing y archivos adjuntos maliciosos: Los correos electrónicos de phishing engañan a los empleados para que abran documentos maliciosos o accedan a enlaces que conducen a sitios web de piratas informáticos. Cuando se inician las vulnerabilidades de macros o scripts, comienza el cifrado o se activan los shells de puerta trasera. A pesar de que los miembros del personal han recibido formación para no hacer clic en enlaces ni proporcionar información personal en correos electrónicos, el phishing sigue siendo un método fiable para que los delincuentes accedan a la red de una empresa. Las empresas que utilizan filtros de contenido y sofisticadas puertas de enlace de correo electrónico reducen considerablemente estas tasas de penetración.
2. Vulnerabilidades de software explotadas: El ransomware busca marcos, sistemas operativos o interfaces de desarrollo/prueba vulnerables que no se hayan eliminado. Mediante paquetes o comandos cuidadosamente construidos, los delincuentes obtienen el control y ejecutan el código, instalando el ransomware sin el conocimiento del usuario. Estos ángulos de infiltración se ven limitados por la aplicación oportuna de parches, el análisis de vulnerabilidades y la segmentación. Un solo parche omitido puede derribar estructuras enteras, y esto ha quedado patente en ataques a gran escala.
3. Ataques al protocolo de escritorio remoto (RDP): Las credenciales inadecuadas o recicladas para las sesiones RDP permiten a los atacantes adivinar o forzar el acceso a las sesiones. Una vez que se infiltran en una red, los atacantes actúan con rapidez y propagan el ransomware por varios recursos compartidos o controladores de dominio. Por lo tanto, medidas como el uso de múltiples factores para autenticar el acceso, limitar el acceso RDP a VPN o simplemente desactivar el RDP externo minimizan significativamente los riesgos. Esta sinergia hace que sea imposible obtener acceso solo con una contraseña robada o adivinada.
4. Descargas drive-by y anuncios maliciosos: Los sitios web de phishing o los servidores de anuncios contaminados envían cargas útiles a los navegadores que no se han actualizado. Pueden visitar una página infectada o ver accidentalmente un anuncio y, como resultado, activan scripts ocultos que descargan el ransomware. Los antivirus en los puntos finales o los nuevos navegadores pueden reconocer estos scripts como maliciosos, pero los empleados normales o los sistemas sin actualizaciones son vulnerables. En combinación con un sofisticado filtrado de contenidos, este enfoque reduce en gran medida las posibilidades de infiltración drive-by.
5. Compromiso de la cadena de suministro: Los delincuentes también manipulan las actualizaciones de software de los proveedores y distribuyen parches infectados o dependencias de bibliotecas. Una vez que la organización obtiene la actualización "oficial" , se ejecuta el malware oculto. Este método de infiltración ha aumentado significativamente, especialmente en lo que respecta a incidentes de infiltración en la cadena de suministro de gran impacto. Para evitar la infiltración en la cadena de suministro, algunas de las soluciones son verificar cada paquete de software, adoptar comprobaciones de firma de código y escanear las bibliotecas recién introducidas.

Tipos de ransomware

Los tipos de ransomware han evolucionado y cada tipo tiene diferentes modos de cifrado, infiltración o extorsión. Algunos ransomware congelan la pantalla y otros filtran información. Conocer estas diferencias ayuda a comprender cómo crear defensas adecuadas. En la siguiente sección, describimos siete áreas importantes que se centran en el desarrollo y la diversificación del ransomware.

1. Cripto-ransomware: Estas variantes cifran los datos del usuario con algoritmos potentes y obligan a las víctimas a comprar la clave de descifrado. Por lo general, los delincuentes tratan de infectar directorios completos o recursos compartidos empresariales importantes para causar el mayor trastorno posible. En caso de que las copias de seguridad también se vean afectadas, o de que no haya copias de seguridad, las perspectivas de recuperación son bastante sombrías. Un número significativo de oleadas de infiltración de alto perfil se centran en extorsiones basadas en criptografía.
2. Ransomware de bloqueo: A diferencia del cifrado, en el que los usuarios quedan bloqueados fuera de sus sistemas, los tipos de bloqueo congelan el sistema operativo. La amenaza implica que hay que pagar para recuperar la accesibilidad normal, incluso si los archivos no están cifrados. Sin embargo, la pérdida de la funcionalidad del sistema puede ser tan devastadora para los lugares de trabajo como para los particulares y las empresas. Por ello, es posible que algunos datos puedan recuperarse si una forma avanzada de análisis forense puede desbloquear las cepas, ya que no se someten a cifrado.
3. Ransomware de doble extorsión: Los ciberdelincuentes roban los datos antes de cifrarlos y amenazan con divulgarlos o venderlos a terceros si no se cumplen sus exigencias. Esta sinergia aumenta la presión, ya que las copias de seguridad por sí solas no protegen los datos públicos de la filtración. Suelen compartir muestras en sitios web que filtran datos, lo que ejerce presión sobre las organizaciones en términos de reputación o consecuencias legales. En la doble extorsión, incluso si las víctimas pagan el rescate, no pueden estar seguras de que sus datos seguirán siendo privados, ya que los delincuentes podrían incumplir su palabra.
4. Ransomware como servicio (RaaS): En los modelos RaaS, los actores maliciosos experimentados ofrecen sus herramientas, que son kits de ransomware, a afiliados con pocas habilidades técnicas. Los afiliados atacan a los objetivos, envían parte del dinero extorsionado al grupo y amplían los objetivos para infectar. Esta colaboración fomenta una economía floreciente de roles de infiltración especializados, desde los intermediarios de acceso inicial hasta los negociadores. El RaaS conduce a un aumento del número de ataques de ransomware en todo el mundo debido a la reducción del nivel de habilidad necesario para ejecutar dichos ataques.
5. Ransomware sin archivos: Las cepas sin archivos operan principalmente en la memoria y no consumen muchos recursos, lo que significa que no escriben muchos datos en los discos. Es posible que algunos de estos procesos no sean detectados por los programas antivirus o de análisis convencionales. Los autores de malware utilizan utilidades del sistema, como PowerShell, para enviar los comandos de cifrado de forma encubierta. Para contrarrestar estos ángulos de infiltración, las organizaciones necesitan una detección sofisticada basada en el comportamiento, junto con un acceso restringido a los scripts.
6. Ransomware móvil: Diseñadas específicamente para teléfonos inteligentes o tabletas, estas variantes bloquean el acceso de los usuarios a sus dispositivos o cifran los archivos almacenados localmente. Los ciberdelincuentes pueden distribuir aplicaciones peligrosas utilizando mercados de terceros o incorporándolas en actualizaciones. Mediante el uso de datos personales o inicios de sesión empresariales en el dispositivo, se ven obligados a pagar por la restauración. Un muro de descarga de aplicaciones sólido y copias de seguridad periódicas del dispositivo dificultan considerablemente el éxito de la infiltración móvil.
7. Ransomware borrador: Un subconjunto destructivo es aquel que simplemente borra o daña los datos en lugar de proporcionar el descifrado cuando se paga. Aunque puede parecerse a las comunicaciones tradicionales del ransomware, el objetivo real puede ser la destrucción o la desorientación. Los ciberdelincuentes pueden utilizar cepas de wiper para interrumpir las operaciones comerciales o incluso sabotear infraestructuras esenciales. Debido a la falta de una clave de recuperación, la única esperanza de restaurar los datos es mediante copias de seguridad y un plan de respuesta a incidentes sólido.

Más información: Tipos de ataques de ransomware

Vectores comunes de ataques de ransomware

Además de las rutas de infiltración como el phishing o las aplicaciones sin parches, el ransomware utiliza múltiples vectores y formas de penetración y escalada. Los hackers investigan continuamente las vulnerabilidades de las empresas, incluyendo credenciales de inicio de sesión robadas y conexiones de socios explotadas. A continuación, describimos cinco de las vías más comunes que utilizan y explicamos cómo los delincuentes pasan de la fase inicial de la violación a la cifración de datos.

1. Phishing e ingeniería social: Se dirige al personal a través de correos electrónicos que contienen enlaces a sitios web falsos, otros correos electrónicos o archivos adjuntos infectados con macros que activan el ransomware. Estos mensajes se personalizan aún más para que parezcan proceder de RR. HH., finanzas o cualquier proveedor conocido. Una vez ejecutado el código, el virus se replica rápidamente, apuntando a los directorios locales o a los recursos compartidos asignados. Los filtros de spam, la concienciación de los usuarios y el uso de la autenticación de dos factores reducen la tasa de éxito de la infiltración.
2. Relleno de credenciales y rociado de contraseñas: Con una gran cantidad de cuentas filtradas en Internet, los ciberdelincuentes intentan entrar en las VPN corporativas o en el acceso remoto utilizando las mismas credenciales. Una vez identificado el objetivo, inyectan el malware en la red y, en la mayoría de los casos, lo camuflan como un usuario genuino. Medidas como políticas de contraseñas seguras o el cambio obligatorio de contraseña en un breve periodo de tiempo también minimizan los ángulos de infiltración. Además, la presencia de MFA y las reducciones del contexto del dispositivo afectan a las tasas de éxito de los ataques basados en contraseñas.
3. Kits de explotación y publicidad maliciosa: Los hackers primero inyectan el código de explotación en los anuncios o sitios web que controlan y luego redirigen a los usuarios a los destinos que eligen. En el siguiente paso, los navegadores o complementos vulnerables ejecutan el ransomware. También es importante señalar que incluso los sitios de noticias o de comercio electrónico de buena reputación pueden ser víctimas del alojamiento de anuncios si las redes publicitarias se ven comprometidas. Mediante el uso de filtros de contenido, la aplicación de parches a los navegadores y la limitación del uso de complementos, las organizaciones evitan este tipo de intentos de infiltración.
4. Servicios de escritorio remoto y vulnerabilidades de VPN: Las soluciones RDP o VPN más antiguas con CVE conocidas siguen estando mal configuradas y son las principales vías para que un ataque tenga éxito. Los atacantes utilizan la fuerza bruta o explotan estos puntos finales para descargar y ejecutar directamente el ransomware en los servidores de destino. Sin configuraciones robustas, como bloqueos de cuentas o actualizaciones de firmware, esta infiltración sigue siendo sencilla. Añadir una segunda capa de protección segmentando el RDP detrás de una VPN corporativa con MFA también reduce estas brechas.
5. Compromiso de la cadena de suministro: Las actualizaciones de software de un proveedor o biblioteca de confianza son modificadas por los delincuentes para permitirles introducir módulos maliciosos en su entorno. Cuando las actualizaciones se integran en sus sistemas de parches o en sus procesos de compilación, se inicia el código. Los grupos RaaS también compran acceso a proveedores comprometidos, conectando así la infiltración a objetivos corporativos aún más grandes. Las evaluaciones de riesgos de los proveedores, las verificaciones de la firma del código y el escaneo evitan estas vías ocultas de infiltración.

¿Cómo funciona el ransomware?

Conocer en detalle cómo funciona el ransomware ayuda a explicar cómo se oculta, a qué velocidad evoluciona y lo peligroso que es. Los hackers utilizan una combinación de técnicas de infiltración y procedimientos de cifrado junto con las infames demandas de rescate, que pueden ser bastante etéreas pero poderosas. A continuación, identificaremos cinco procesos clave que explican este círculo vicioso:

1. Acceso inicial y entrega de la carga útil: Los delincuentes identifican un punto de entrada, ya sea a través de esquemas de phishing, paquetes de explotación o información de inicio de sesión robada, e introducen el malware. Esta carga útil comprueba con frecuencia la arquitectura del sistema, la presencia de antivirus o los privilegios de los usuarios. Si encuentra un entorno favorable, aumenta o crea submódulos. En esta etapa, la detección temprana puede interrumpir toda la cadena de infiltración.
2. Escalada de privilegios y movimiento lateral: Dentro del sistema objetivo, los delincuentes aprovechan las lagunas o las contraseñas predeterminadas para pasar del nivel de usuario al de administrador. A continuación, se mueven por la red en busca de recursos compartidos, servidores de copia de seguridad o controladores de dominio. Al desactivar los registros de seguridad o los agentes EDR, ocultan el progreso de la infiltración. De esta manera, la sinergia garantiza que la infiltración sea amplia antes de que comience el cifrado, logrando así la máxima interrupción.
3. Exfiltración de datos y doble extorsión: En los ataques modernos, los registros confidenciales se exfiltran a otros servidores antes de que se produzca el cifrado. Los ciberdelincuentes exigen un rescate a los objetivos a cambio de no divulgar la información robada. Esta sinergia intensifica las negociaciones del rescate: las copias de seguridad no serán suficientes si la fuga de datos se vuelve probable. La sinergia combina los conceptos de infiltración y extorsión, lo que obliga a las organizaciones afectadas a tener en cuenta tanto los costes operativos como los reputacionales.
4. Cifrado y bloqueo: Una vez que el malware está en su lugar, la rutina maliciosa cifra los archivos objetivo utilizando algoritmos de cifrado fuertes como AES o RSA, lo que hace que los archivos sean inaccesibles. Los atacantes dejan una nota de rescate en la que piden el pago en criptomoneda y, a menudo, establecen un plazo para ello. Este cifrado también puede afectar a las copias de seguridad si los delincuentes se dan cuenta de que están conectadas. Con el tiempo, se vuelve más agresivo y comienza a interrumpir los esfuerzos del sistema de verificación de códigopara restaurarse a sí mismo.
5. Negociación del rescate y posible descifrado: En este caso, a las víctimas no les queda otra opción que pagar el rescate o restaurar desde las copias de seguridad. Los delincuentes suelen liberar la herramienta de descifrado después de recibir el rescate, pero la calidad de la herramienta puede ser cuestionable. Algunos delincuentes filtran los datos de todos modos, o las claves proporcionadas no funcionan correctamente, lo que agrava la situación. Contar con una copia de seguridad fuera de línea o aislada y con planes de restauración probados puede evitar tener que pagar a los delincuentes en primer lugar.

Etapas de un ataque de ransomware

Aunque los detalles de la infiltración pueden variar según el tipo de ransomware o el entorno en el que opera, la mayoría de los ataques de ransomware siguen una serie de etapas comunes. Esto significa que detenerlo al principio, como bloquear el primer intento de explotación, puede evitar que la situación empeore. A continuación, describimos las fases comunes, desde el reconocimiento hasta el paso final de la extorsión, y explicamos cómo los delincuentes logran sistemáticamente el cifrado.

1. Reconocimiento: Los atacantes sondean las redes, obtienen contraseñas a partir de violaciones de datos o investigan los perfiles de los empleados en LinkedIn. Buscan objetivos susceptibles, como servidores sin parches, puertos abiertos o personas con acceso a los datos. Esta sinergia permite descubrir activos de gran valor, como bases de datos financieras o controladores de dominio. Mediante un análisis minucioso del entorno, los delincuentes son capaces de idear formas y medios para penetrar en una organización.
2. Compromiso inicial: Basándose en los resultados de este reconocimiento, los delincuentes lanzan malware o comprueban los datos de inicio de sesión. Pueden hacerse pasar por miembros del personal o aprovechar vulnerabilidades conocidas del software. Una vez que se ha violado el primer punto de entrada, como los ordenadores de sobremesa, los atacantes recopilan más datos específicos del entorno. Esto les permite establecer una infiltración más profunda o movimientos laterales.
3. Escalada de privilegios y movimiento lateral: Hoy en día, los atacantes aprovechan las vulnerabilidades locales o la simple fuerza bruta para obtener permisos de dominio o root. También escanean unidades mapeadas, recursos compartidos de red o API en la nube en busca de información de alto valor. Al controlar o eludir los registros de seguridad, evitan que los programas de detección detecten su infiltración. Esta sinergia significa que un usuario comprometido puede afectar a segmentos enteros si no se ha implementado la microsegmentación.
4. Exfiltración de datos: Utilizando privilegios administrativos, los delincuentes transfieren silenciosamente información a servidores fuera de la red corporativa. Este paso les prepara para una estrategia de doble extorsión en la que amenazan con filtrar los datos en caso de que no se pague el rescate. También ayuda a los delincuentes a determinar las posibles cantidades de rescate, así como la vulnerabilidad de los datos. Los objetivos suelen desconocer la pérdida de datos hasta que reciben las notas de rescate o se detecta un tráfico inusual.
5. Cifrado y demanda de rescate: Por último, el código cifra los archivos importantes con una clave segura y graba un mensaje sobre cómo descifrar los archivos y la cantidad de dinero necesaria para ello. Los autores de las amenazas suelen solicitar el pago en criptomonedas y establecen un plazo breve o amenazan con publicar los datos robados. En los casos en los que también se pierden las copias de seguridad o el personal no está preparado, el efecto paraliza las operaciones durante todo el día. Esta etapa final sella el éxito de la infiltración, a menos que el ataque sea detectado y detenido o que se realice rápidamente una copia de seguridad offline de los sistemas infectados.

Métodos de los ataques de ransomware

Los delincuentes utilizan diversas tácticas y estrategias de infiltración y extorsión que se dirigen a diferentes aspectos o comportamientos del personal. De este modo, al analizar estos métodos de ransomware, las organizaciones pueden mejorar sus defensas en todos los puntos de infiltración. A continuación, presentamos cinco ejemplos para demostrar lo versátiles y flexibles que pueden ser los atacantes modernos:

1. Malspam y spear phishing: El correo electrónico es el método de infiltración más común hasta la fecha, especialmente el masivo o dirigido, que se aprovecha de los empleados poco sofisticados que descargan archivos adjuntos infectados o hacen clic en enlaces. El spear phishing consiste en enviar mensajes que contienen información que los delincuentes han obtenido de las redes sociales o de hackeos anteriores. Una vez que se ejecutan las macros o los kits de explotación, se inicia la rutina de cifrado o exfiltración. Para contrarrestarlo, el éxito de la infiltración se ve frustrado por el uso de filtros de correo electrónico avanzados, la concienciación del personal y el escaneo de enlaces.
2. Kits de explotación y compromiso drive-by: El malware se inyecta en los sitios web infectados o seleccionados como objetivo, o a través de publicidad maliciosa. Cualquier navegador o complemento que no se haya actualizado con los últimos parches se convierte en una puerta abierta tan pronto como el personal accede al sitio. Incluso las grandes redes publicitarias pueden ocasionalmente enviar anuncios maliciosos a los portales de sitios legítimos. Estos ángulos de infiltración se ven severamente restringidos por una gestión estricta de los parches y un uso limitado de los complementos.
3. Servicios remotos y ataques RDP: Los hackers sondean de forma proactiva los puntos finales RDP o las conexiones SSH con el objetivo de utilizar credenciales predeterminadas o un CVE descubierto. Si el atacante obtiene privilegios de administrador de dominio o acceso al sistema operativo a nivel de root, puede instalar rutinas de cifrado a nivel del sistema. La implementación de medidas como la autenticación multifactorial o la restricción del acceso remoto a los recursos detrás de una VPN o un sistema de confianza cero reduce significativamente la probabilidad de que los ciberataques tengan éxito. Revisar repetidamente los registros en busca de entradas similares es otra forma de identificar los ataques de fuerza bruta en una etapa temprana.
4. Software troyanizado y compromiso de terceros: Los actores maliciosos se infiltran en actualizaciones de software genuinas, como controladores, complementos o bibliotecas, e integran código de ransomware en ellas. Las víctimas, creyendo que están descargando desde el proveedor o un sitio espejo, ejecutan las actualizaciones, lo que activa los procedimientos de infiltración. Esto muestra perfectamente cómo el compromiso de la cadena de suministro tiene consecuencias de gran alcance. El examen de las firmas de código, la implementación de una sólida gestión de riesgos de los proveedores o el uso de escáneres de canalización permite derrotar estos vectores de infiltración encubiertos.
5. Pivote lateral desde otro malware: A veces, la infiltración comienza con un troyano o un keylogger menos llamativo que recopila sigilosamente nombres de usuario o contraseñas. A continuación, los atacantes pasan al proceso de cifrado propiamente dicho una vez que han identificado los datos valiosos. El proceso de cifrado del ransomware comienza antes de que el personal se dé cuenta de que algo va mal. Las soluciones EDR basadas en el comportamiento pueden detectar un pivote anormal y detener la infiltración antes del último ataque.

Ejemplos de ataques de ransomware

En lo que respecta al ransomware, no hay duda de lo que los delincuentes son capaces de hacer: pueden bloquear las operaciones o exigir millones de dólares a cambio de liberarlas. Por lo tanto, es importante tener en cuenta que incluso las organizaciones mejor dotadas pueden verse sorprendidas si se descuida un ángulo de infiltración. En la siguiente sección, se presentan cuatro casos para poner de relieve la gravedad de la infiltración, las reacciones de las empresas y los resultados.

1. LoanDepot (2024): En enero, una de las mayores entidades hipotecarias, LoanDepot, denunció un ataque de ransomware que tuvo lugar entre el 3 y el 5 de enero, en el que se cifraron datos y se robó información confidencial de los clientes, lo que provocó la interrupción del servicio para 16,6 millones de consumidores. Alphv/BlackCat se atribuyó la autoría del ataque, que se suma a la historia de importantes violaciones de seguridad del grupo. El reciente ataque a LoanDepot es un ejemplo que demuestra que las empresas financieras que disponen de una gran cantidad de datos de usuarios son especialmente atractivas para los extorsionadores.
2. Veolia (2024): Veolia North America, una empresa de reciclaje de agua y energía, declaró que había sufrido un ataque de ransomware que dejó inutilizables algunos de sus sistemas back-end. Aunque las operaciones de tratamiento de agua no se vieron interrumpidas, los servicios de facturación se vieron afectados, lo que causó inconvenientes a los clientes. Esto dio lugar a notificaciones a los usuarios tras producirse una violación parcial de los datos. Esto demuestra que está aumentando el número de ataques contra proveedores de infraestructuras críticas como forma de forzar el pago rápido del rescate exigido.
3. Ascension (2024): Ascension, un sistema sanitario con sede en San Luis, reveló en mayo que el ransomware había afectado a los registros sanitarios electrónicos (EHR) y a algunas líneas telefónicas. Durante más de un mes, los pacientes sufrieron interrupciones en la programación de citas y confusión en los pedidos de medicamentos. Algunos centros incluso desviaron ambulancias, ya que el personal se enfrentaba a la semana más ajetreada de su historia. La sinergia demuestra cómo los peligrosos incidentes de ransomware perturban la atención sanitaria fundamental, lo que no solo supone una amenaza para la estabilidad de los hospitales, sino también para la vida de los pacientes.
4. Ayuntamiento de Cleveland (2024): En junio, los piratas informáticos paralizaron la ciudad de Cleveland, cerrando el ayuntamiento durante 11 días tras un ataque que afectó a los sistemas de facturación y a los procedimientos administrativos oficiales. Los empleados se apresuraron a poner en cuarentena los ordenadores afectados e intentaron recuperar los datos de las copias. La ciudad afirmó que no pagaría el rescate, aunque no podía confirmar si los datos habían sido robados. Esta sinergia demuestra cómo incluso los ataques dañinos de ransomware pueden paralizar todos los servicios municipales, afectando a la vida cotidiana de los residentes.

¿Cómo prevenir los ataques de ransomware?

Para protegerse contra las infiltraciones no solo se necesitan mejores herramientas, sino también personal bien informado, configuraciones seguras y copias de seguridad probadas. Por eso no hay una medida única que sea adecuada, ya que los delincuentes cambian constantemente sus estrategias. A continuación se presentan cinco medidas fundamentales que reducen drásticamente el riesgo de infiltración y aceleran la reparación tras un incidente:

1. Formación integral del personal: El phishing y la ingeniería social siguen siendo los métodos más populares entre los atacantes para infiltrarse en las organizaciones. Las sesiones de formación periódicas y los simulacros de ataques de phishing ayudan a los empleados a estar al tanto de las posibles amenazas. Aproveche otras medidas de seguridad para garantizar que solo se utilicen contraseñas complejas en lugar de sencillas y fáciles de adivinar. Esta sinergia reduce el riesgo de que los clics de usuarios inocentes o las contraseñas reutilizadas pongan en peligro toda la red.
2. Exigir la autenticación multifactorial: Incluso si los delincuentes adivinan u obtienen las contraseñas, las autenticaciones de segundo factor (como los códigos enviados al teléfono o los tokens de seguridad físicos) ralentizan a los intrusos. MFA es muy recomendable al iniciar sesión en una cuenta de administrador o de dominio para conexiones VPN o RDP remotas. La sinergia reduce significativamente la probabilidad de éxito del relleno de credenciales. Con el tiempo, otras soluciones sofisticadas, como el inicio de sesión único junto con políticas basadas en el contexto, mejoran la autenticidad.
3. Aplicación regular de parches y análisis de vulnerabilidades: La implementación inmediata de actualizaciones del sistema operativo, las aplicaciones y el firmware mitiga los ángulos de infiltración identificados. El análisis periódico ayuda a detectar CVE o vulnerabilidades de día cero. Estas tareas también deben incluir recursos efímeros, como contenedores o servidores de desarrollo/pruebas. Al asociar el análisis con las fusiones de canalizaciones, los desarrolladores y los operadores pueden abordar las vulnerabilidades en el proceso de desarrollo antes de su lanzamiento a producción.
4. Microsegmentación y arquitectura de confianza cero: Dividir las redes en segmentos impide el movimiento lateral si los atacantes penetran en un servidor, un punto final o un recurso en la nube. La confianza cero comprueba la identidad y el permiso de cada solicitud, lo que impide el acceso no autorizado mediante credenciales robadas o adivinadas. La implementación de perímetros definidos por software o reglas VLAN altamente restrictivas proporciona ventanas de infiltración mínimas. Por lo tanto, la segmentación, combinada con la confianza cero, garantiza que la infiltración no se extienda a todo el entorno.
5. Copias de seguridad con aislamiento físico y simulacros de desastres: Es imposible prevenir todo tipo de infiltraciones, incluso con las medidas de seguridad más robustas, por lo que es esencial contar con una copia de seguridad fuera de línea. Compruebe periódicamente los puntos de restauración para asegurarse de que los datos están actualizados y no han sufrido daños. Si los delincuentes cifran la producción, las copias de seguridad fuera de línea pueden utilizarse para restaurar rápidamente sin tener que pagar un rescate. De este modo, mediante el uso de manuales de incidentes, el personal puede gestionar fácilmente las infiltraciones reales, reduciendo así la aparición de desórdenes.

Detección y eliminación de ransomware

La prevención del ransomware no siempre es infalible, y la infiltración puede lograrse mediante la explotación de una vulnerabilidad de día cero o un ataque de ingeniería social. La detección temprana del código malicioso puede detener el cifrado a mitad del proceso, salvando así todo el entorno. A continuación se indican cinco pasos para reconocer rápidamente los comportamientos peligrosos y coordinar cómo eliminar el ransomware después de que se produzca una infección:

1. Protección de endpoints basada en el comportamiento: Los antivirus basados únicamente en firmas suelen ser lentos a la hora de evolucionar, ya que el código cambia con rapidez y frecuencia. En cambio, las soluciones EDR avanzadas observan los comportamientos en tiempo de ejecución, como un nuevo proceso que cifra muchos archivos a la vez. Si una anomalía se correlaciona con un patrón de infiltración reconocido, se gestiona aislándola o poniéndola en cuarentena. Esta sinergia significa que los programas maliciosos sin archivos o incluso formas completamente nuevas se detectan en tiempo real.
2. Supervisión de anomalías en la red: Las transferencias de datos fuera del horario laboral normal o el uso repentino de un gran ancho de banda indican una filtración o un cifrado masivo. Las herramientas SIEM o NDR pueden detectar estos patrones para notificar al personal que investigue más a fondo el asunto. El examen de la distribución del tráfico y las conexiones este-oeste puede revelar las etapas iniciales del pivote de infiltración. Esto evita que el atacante se afiance y cifre todos los archivos o transmita todos los archivos robados.
3. Herramientas de análisis de ransomware: Algunos programas antiransomware están diseñados para buscar activamente algoritmos de cifrado específicos, operaciones de renombrado o extensiones de archivo que suelen estar bloqueadas. También pueden comprobar si hay escrituras parciales de ransomware o cambios en las instantáneas de volumen. Si se activan, eliminan el proceso que causó el problema o restauran los archivos que han sido alterados mediante el registro. Además del antivirus estándar, estos escáneres específicos reducen significativamente el tiempo de infiltración.
4. Contención y restauración automatizadas: Una vez que se activa un marco de automatización, puede apagar los hosts infectados y denegar el acceso a la red, deteniendo así el movimiento lateral. Algunas de las soluciones más sofisticadas ofrecen funciones de "reversión" para capturar el estado del sistema y permitir al personal devolver el sistema a un estado anterior a la infección. Al asociar la contención con la fase de detección, se impide que los delincuentes se muevan lateralmente o filtren datos. Esto ahorra tiempo en la ventana de eventos, acortando así el impacto global.
5. Eliminación de ransomware y limpieza forense: Después de la contención, siempre queda algún código que debe neutralizarse, es necesario comprobar los archivos del sistema y eliminar todos los posibles desencadenantes. Esto puede incluir el análisis de los programas de inicio, programas programados o registros en busca de cualquier enlace malicioso. En caso de cifrado parcial, los archivos se pueden recuperar de las copias de seguridad o descifrar utilizando herramientas de descifrado. Un análisis en profundidad del ransomware después del incidente ayuda a perfeccionar las reglas de detección futuras y a corregir los ángulos de infiltración.

Prevenir los ataques de ransomware con SentinelOne

La detección autónoma de amenazas mediante IA de SentinelOne puede ayudar a las organizaciones a luchar contra el malware, el ransomware, el phishing y todo tipo de ciberamenazas. Su motor de seguridad ofensiva con rutas de explotación verificadas puede detectar cuándo algo va mal, descubrir nuevos ángulos de ataque y mitigarlos antes de que puedan ser explotados.

La avanzada protección de endpoints puede proteger máquinas virtuales, cargas de trabajo, nubes, contenedores, usuarios e identidades. Purple AI, un analista de ciberseguridad con IA genérica, puede obtener información única sobre los atacantes y los canales de seguridad. Obtendrá la mejor seguridad para los canales de CI/CD y una cobertura de seguridad adecuada. SentinelOne puede detectar más de 750 tipos diferentes de secretos y evitar fugas de credenciales en la nube.

Puede identificar cuentas inactivas o inactivas y buscar procesos maliciosos antes de que puedan tomar el control, secuestrar cuentas o escalar privilegios. SentinelOne puede ejecutar análisis activos y pasivos en segundo plano y funcionar las 24 horas del día, los 7 días de la semana, enviándole automáticamente alertas cada vez que surgen problemas y eliminando los falsos positivos.

También cuenta con integración Snyk y viene con un CNAPP holístico sin agente que puede proporcionar protección integral. Al utilizar las soluciones de SentinelOne, también se garantiza el cumplimiento continuo de marcos normativos como SOC 2, NIST, HIPAA, CIS Benchmark y otros. Las organizaciones también pueden luchar contra los ataques de Active Directory y Entra ID con las ofertas de la plataforma.

Conclusión

El ransomware sigue siendo una de las amenazas más peligrosas para las empresas modernas, ya que pone en peligro los datos, los procesos empresariales y la confianza de los clientes. En lo que respecta a los métodos de infiltración, como el phishing, los kits de explotación o el movimiento lateral, es mucho más eficaz analizar los enfoques a nivel individual y desarrollar múltiples capas de protección. Sin embargo, detener la infiltración es solo una parte de la solución; identificar las actividades maliciosas durante un ataque y contar con sistemas de copia de seguridad sólidos constituyen las otras dos patas del taburete. Ya se trate de un entorno en la nube de corta duración o de un servidor localservidor local que lleva años en uso, el escaneo, la formación del personal y la implementación de la microsegmentación minimizan significativamente el número de vectores de entrada.

Ninguna solución es suficiente cuando los delincuentes se adaptan a nuevas estrategias de infiltración, como la doble extorsión o la incorporación de funciones avanzadas de gusanos. Sin embargo, las mejoras continuas basadas en políticas claramente definidas, copias de seguridad probadas y soluciones de EDR adaptablesEDR adaptables mantienen bajo control las amenazas de infiltración. Cuando se combinan con un escáner de ransomware dedicado o una plataforma de protección de endpoints basada en IA como SentinelOne, su entorno obtiene detección en tiempo real junto con reparación automática.

"

FAQs