Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for Extorsión cibernética: guía de riesgos y prevención
Cybersecurity 101/Inteligencia sobre amenazas/Extorsión cibernética

Extorsión cibernética: guía de riesgos y prevención

La extorsión cibernética combina el cifrado de ransomware, amenazas de robo de datos y ataques DDoS. Descubra cómo la plataforma autónoma de SentinelOne detiene campañas de extorsión en múltiples etapas.

CS-101_Threat_Intel.svg
Tabla de contenidos
¿Qué es la extorsión cibernética?
Impacto de la extorsión cibernética en las organizaciones
Extorsión cibernética vs Ransomware
Componentes principales de la extorsión cibernética
Indicadores clave de un intento de extorsión cibernética
Tipos de extorsión cibernética
Cómo funciona la extorsión cibernética
Cómo detectar intentos de extorsión cibernética
Cómo prevenir la extorsión cibernética
Pasos de respuesta ante incidentes de extorsión cibernética
Desafíos y limitaciones en la defensa contra la extorsión cibernética
Errores comunes en la extorsión cibernética
Mejores prácticas para la extorsión cibernética
Ejemplos reales de incidentes de extorsión cibernética
Defiéndete de la extorsión cibernética con SentinelOne
Puntos clave

Entradas relacionadas

  • ¿Cómo prevenir el IP spoofing?
  • ¿Qué es la detección y respuesta ante amenazas (TDR)?
  • ¿Qué son los ataques de fuerza bruta?
  • ¿Qué es la ciberresiliencia? Ventajas y retos
Autor: SentinelOne | Revisor: Dianna Marks
Actualizado: March 27, 2026

¿Qué es la extorsión cibernética?

En los ataques de extorsión cibernética, los delincuentes comprometen tus sistemas, roban tus datos o interrumpen tus operaciones, y luego exigen un pago en criptomonedas para detener el ataque o evitar la divulgación de datos. Según el informe 2024 del Centro de Quejas de Delitos en Internet del FBI publicado el 24 de abril de 2025, las denuncias de extorsión aumentaron a 12,618 incidentes en 2024, lo que representa un incremento del 134% respecto a las 5,396 denuncias de 2023.

La extorsión cibernética moderna apunta simultáneamente a tus ingresos, continuidad operativa y cumplimiento normativo mediante amenazas de extorsión de datos y cifrado. Según el Análisis de Tendencias Financieras de FinCEN, las bandas de ransomware extorsionaron más de $2.1 mil millones entre 2022 y 2024, siendo los sectores de manufactura, servicios financieros y salud los más atacados.

Cyber Extortion - Featured Image | SentinelOne

Impacto de la extorsión cibernética en las organizaciones

La extorsión cibernética genera efectos en cascada en todo tu negocio. El impacto financiero va mucho más allá de las demandas de rescate. El ataque a Change Healthcare en 2024 resultó en miles de millones de dólares en costos de respuesta, cubriendo respuesta a incidentes, restauración de sistemas, notificaciones regulatorias e interrupción del negocio.

La interrupción operativa agrava las pérdidas financieras. Cuando Synnovis, un proveedor de patología del NHS, sufrió un ataque de ransomware en junio de 2024, hospitales de Londres pospusieron más de 1,100 procedimientos electivos y 2,000 citas ambulatorias. Se retrasaron transfusiones de sangre, tratamientos contra el cáncer y cesáreas, afectando directamente la atención al paciente. El daño reputacional persiste mucho después de restaurar los sistemas, y las sanciones regulatorias por filtraciones de datos añaden una carga financiera adicional, especialmente en salud y servicios financieros.

Comprender por qué estos ataques causan daños tan generalizados requiere distinguir la extorsión cibernética de los ataques de ransomware más simples.

Extorsión cibernética vs Ransomware

El ransomware cifra tus archivos y exige un pago por las claves de descifrado. La extorsión cibernética abarca el ransomware pero añade múltiples tácticas de presión diseñadas para forzar el pago incluso cuando tienes opciones de recuperación mediante copias de seguridad.

El ransomware tradicional representa una sola transacción: pagar para descifrar. Si mantienes copias de seguridad fuera de línea, podrías recuperarte sin pagar. Los atacantes reconocieron esta limitación y evolucionaron sus tácticas. La extorsión cibernética moderna combina cifrado con robo de datos, amenazas de publicación pública, ataques DDoS durante las negociaciones y contacto directo con tus clientes o socios. Cada táctica adicional elimina una posible opción de recuperación. Incluso con copias de seguridad perfectas, aún enfrentas exposición de datos si te niegas a pagar.

La extorsión cibernética también implica líneas de tiempo de ataque más largas. El ransomware puede ejecutarse en segundos. Las campañas de extorsión cibernética requieren días o semanas de reconocimiento, robo de credenciales, movimiento lateral y exfiltración de datos antes de la etapa final de cifrado. Esta línea de tiempo extendida crea múltiples ventanas donde puedes detectar y detener el ataque, pero solo si tu arquitectura de seguridad puede identificar el comportamiento del atacante durante estas fases.

Los componentes principales de las campañas modernas de extorsión cibernética revelan cómo estas tácticas trabajan juntas para maximizar la presión.

Componentes principales de la extorsión cibernética

La extorsión cibernética moderna combina múltiples métodos de ataque que apuntan simultáneamente a tu organización, incluyendo cifrado de ransomware, robo de datos con amenazas de publicación pública y ataques DDoS.

  1. El cifrado de ransomware bloquea tus sistemas de producción y repositorios de datos hasta que pagues por la clave de descifrado. Los atacantes apuntan primero a tu infraestructura de copias de seguridad: según el análisis de CISA sobre campañas de ransomware, los atacantes explotan específicamente vulnerabilidades en software de respaldo como CVE-2023-27532 en Veeam, a menudo mucho después de que los parches estén disponibles.
  2. La extorsión por robo de datos implica que los atacantes exfiltran tus datos sensibles antes del cifrado, y luego amenazan con publicar la información robada o contactar directamente a los clientes afectados. Según la advertencia conjunta de CISA y el FBI sobre el ransomware Medusa, esta estrategia de doble extorsión se ha convertido en una práctica estándar.
  3. La interrupción basada en DDoS mediante ataques de denegación de servicio distribuido satura tu infraestructura de red mientras los atacantes despliegan ransomware y amenazan con liberar datos. Este enfoque de triple extorsión apunta simultáneamente a tus operaciones, tus datos y tus socios de la cadena de suministro.

Estos componentes funcionan juntos en una secuencia predecible, y reconocer las señales de advertencia de una campaña de extorsión puede ayudarte a responder antes de que se despliegue el cifrado.

Indicadores clave de un intento de extorsión cibernética

Las campañas de extorsión cibernética dejan rastros durante las fases de reconocimiento y preparación. La advertencia de CISA sobre el ransomware Play documenta que los atacantes usan herramientas como AdFind para enumerar controladores de dominio y cuentas privilegiadas. Observa picos repentinos en consultas de AD desde estaciones de trabajo que normalmente no realizan funciones administrativas.

Antes de la exfiltración, los atacantes consolidan archivos robados en archivos comprimidos. Supervisa procesos que acceden a miles de archivos, creación inusual de archivos comprimidos y conexiones inesperadas a servicios de almacenamiento en la nube. Según la guía de ransomware de CISA, los atacantes usan Rclone, Rsync, servicios de almacenamiento de archivos web y FTP/SFTP para la exfiltración de datos.

Los atacantes también deshabilitan herramientas de seguridad antes de desplegar ransomware. Alerta sobre manipulación de agentes de seguridad, eliminación de copias sombra de volumen y modificaciones en servicios de respaldo.

Estos indicadores aparecen durante líneas de tiempo de ataque extendidas que documentan las investigaciones del FBI. Los atacantes los combinan en configuraciones escalonadas según el tipo de campaña de extorsión que despliegan.

Tipos de extorsión cibernética

Las campañas de extorsión cibernética se dividen en tres categorías según la cantidad de tácticas de presión que despliegan los atacantes. Cada evolución añade apalancamiento que hace más probable el pago, incluso cuando las víctimas tienen sólidas capacidades de respaldo y recuperación.

  1. Extorsión simple se basa únicamente en el cifrado de ransomware. Los atacantes cifran tus sistemas y exigen pago por las claves de descifrado. Si mantienes copias de seguridad fuera de línea, puedes recuperarte sin pagar.
  2. Doble extorsión añade el robo de datos al cifrado. Los atacantes exfiltran datos sensibles antes de cifrar los sistemas y luego amenazan con publicar la información robada si te niegas a pagar. Incluso con recuperación de copias de seguridad, enfrentas sanciones regulatorias y daño reputacional por la exposición de datos.
  3. Triple extorsión incorpora ataques DDoS y presión sobre la cadena de suministro a la doble extorsión. Los atacantes saturan tu red durante las negociaciones de rescate mientras contactan a tus clientes, socios o inversionistas para aumentar la presión.

La evolución hacia campañas multinivel refleja que los atacantes han aprendido que la recuperación mediante copias de seguridad debilita los ataques basados solo en cifrado. Comprender la secuencia del ataque revela dónde puedes interrumpir estas campañas.

Cómo funciona la extorsión cibernética

Los ataques de extorsión cibernética siguen una progresión de múltiples etapas: acceso inicial, escalada de privilegios, movimiento lateral, exfiltración de datos y despliegue de cifrado. Las investigaciones de CISA y el FBI muestran que los actores de amenazas pasan días o semanas realizando reconocimiento antes del cifrado, dándote múltiples oportunidades para detectar actividad sospechosa.

  • Acceso inicial mediante vulnerabilidades explotadas: Los atacantes obtienen acceso a través de vulnerabilidades de software que no has parcheado. La advertencia CISA AA25-163A documenta actores de ransomware explotando SimpleHelp Remote Monitoring and Management sin parches. Según la advertencia de CISA sobre el ransomware Interlock, los actores de amenazas han obtenido acceso inicial mediante descargas desde sitios web legítimos comprometidos.
  • Acceso a credenciales y reconocimiento: Los atacantes roban credenciales administrativas mediante herramientas de volcado de credenciales. Según la advertencia CISA AA23-278A, los actores maliciosos abusan regularmente de credenciales predeterminadas para acceso VPN y acceso administrativo a sistemas de respaldo. La advertencia de CISA sobre el ransomware Play documenta atacantes usando AdFind para mapear toda tu estructura de dominio antes de desplegar el cifrado.
  • Movimiento lateral y exfiltración de datos: Los atacantes usan herramientas como PsExec para moverse lateralmente mediante comunicaciones Server Message Block (SMB). La guía StopRansomware de CISA señala que la mayoría de las organizaciones no configuran los sistemas Windows para requerir IPsec basado en Kerberos para comunicaciones SMB laterales. Los actores de amenazas pasan días o semanas exfiltrando tus datos sensibles antes de desplegar ransomware.
  • Cifrado multiplataforma: El FBI observó que el ransomware Interlock despliega cifradores para sistemas operativos Windows y Linux. Cuando se ejecuta el cifrado, apunta simultáneamente a tu entorno de producción, infraestructura virtual y sistemas de respaldo.

La naturaleza multinivel de estos ataques crea ventanas defensivas, pero aprovecharlas requiere plataformas de seguridad capaces de detectar el comportamiento del atacante en las fases tempranas.

Cómo detectar intentos de extorsión cibernética

Detectar campañas de extorsión cibernética requiere monitorear el comportamiento del atacante a lo largo de múltiples fases del ataque. Las soluciones puntuales que solo alertan sobre la ejecución de malware omiten las semanas de actividad previas al cifrado.

Actividad de reconocimiento

Las plataformas de seguridad deben correlacionar la actividad de consultas a Active Directory con los procesos que generan esas consultas. Observa:

  • AdFind u otras herramientas consultando controladores de dominio desde estaciones de trabajo que nunca realizan funciones administrativas
  • Enumeración de cuentas privilegiadas, membresías de grupos y relaciones de confianza
  • Escaneo de puertos o mapeo de red desde sistemas internos
  • Consultas contra infraestructura de respaldo y sistemas de almacenamiento

Indicadores de movimiento lateral

Rastrea patrones de autenticación que se desvían del comportamiento base:

  • Cuentas de servicio accediendo a sistemas que nunca han tocado
  • Herramientas administrativas (PsExec, WMI, PowerShell remoting) ejecutándose desde directorios no estándar
  • Conexiones de Escritorio Remoto desde sistemas fuente inusuales
  • Anomalías de autenticación pass-the-hash o pass-the-ticket

Preparación y exfiltración de datos

Configura herramientas de seguridad para alertar sobre comportamiento de agregación de datos:

  • Procesos que acceden a cientos de archivos en múltiples directorios en cortos periodos
  • Creación de archivos comprimidos (ZIP, RAR, 7z) en carpetas temporales o ubicaciones no estándar
  • Conexiones salientes a almacenamiento en la nube (Mega, Dropbox, Google Drive) desde servidores
  • Grandes transferencias de datos fuera de horario o a IPs externas desconocidas
  • Actividad de Rclone, Rsync o FTP/SFTP desde sistemas que normalmente no usan estas herramientas

Intentos de evasión de defensas

Alerta de inmediato sobre manipulación de herramientas de seguridad:

  • Agente de protección de endpoint detenido o desinstalado
  • Eliminación de copias sombra de volumen (vssadmin delete shadows)
  • Modificaciones en servicios de respaldo o cambios en tareas programadas
  • Inclusiones de exclusiones en Windows Defender agregadas programáticamente

El análisis de comportamiento es clave porque los atacantes usan herramientas legítimas en lugar de malware personalizado. Las plataformas de seguridad que correlacionan indicadores individuales en líneas de tiempo unificadas muestran la ruta completa del ataque en lugar de eventos desconectados.

Detectar intentos de extorsión a tiempo te da margen para implementar medidas preventivas que aborden cada fase de la cadena de ataque.

Cómo prevenir la extorsión cibernética

Las estrategias de prevención deben abordar cada fase de la cadena de ataque de extorsión cibernética. Enfócate en los controles específicos que interrumpen la progresión del atacante desde el acceso inicial hasta el cifrado.

Bloquea el acceso inicial

  • Aplica parches a sistemas expuestos a internet dentro de las 48 horas posteriores a la divulgación de vulnerabilidades críticas, priorizando dispositivos VPN, firewalls, herramientas de acceso remoto y pasarelas de correo electrónico
  • Deshabilita protocolos de acceso remoto innecesarios (RDP, SSH) en sistemas que no los requieren
  • Implementa listas de permitidos de aplicaciones en servidores para evitar ejecutables no autorizados
  • Despliega filtrado de correo electrónico que elimine archivos adjuntos peligrosos y analice URLs

Elimina debilidades de credenciales

Según la advertencia CISA AA23-278A, las credenciales predeterminadas siguen siendo una de las configuraciones incorrectas más explotadas.

  • Haz inventario de todos los sistemas y verifica que las contraseñas predeterminadas hayan sido cambiadas, especialmente en sistemas de respaldo, dispositivos VPN y portales administrativos
  • Requiere MFA en acceso VPN, portales administrativos, servicios en la nube y correo electrónico. La brecha de Change Healthcare explotó una sola cuenta sin MFA, afectando finalmente a aproximadamente 190 millones de personas.
  • Implementa gestión de acceso privilegiado (PAM) para cuentas administrativas
  • Exige contraseñas de 15+ caracteres para cuentas de servicio

Limita el movimiento lateral

  • Segmenta tu red según función y sensibilidad de los datos
  • La guía StopRansomware de CISA recomienda configurar sistemas Windows para requerir IPsec basado en Kerberos para comunicaciones SMB laterales
  • Deshabilita LLMNR, NetBIOS y WPAD para evitar la interceptación de credenciales
  • Restringe el uso de cuentas de administrador local en estaciones de trabajo

Protege la infraestructura de respaldo

  • Mantén copias de seguridad fuera de línea y cifradas, aisladas de conexiones de red
  • Almacena las credenciales de respaldo por separado del Active Directory de producción
  • Prueba los procedimientos de  recuperación ante ransomware trimestralmente para verificar la capacidad de restauración
  • Implementa almacenamiento de respaldo inmutable que impida la eliminación o modificación

Incluso con una prevención sólida, los incidentes aún pueden ocurrir. Contar con un plan de respuesta claro determina si contienes un ataque rápidamente o enfrentas una interrupción operativa prolongada.

Pasos de respuesta ante incidentes de extorsión cibernética

Cuando descubres un ataque de extorsión cibernética, tu respuesta en las primeras horas determina si los atacantes logran sus objetivos. Sigue estos pasos según la lista de verificación de ransomware de CISA:

  1. Aísla los sistemas afectados de inmediato. Desconecta los sistemas comprometidos de la red pero mantenlos encendidos. El aislamiento de red previene el movimiento lateral y el cifrado adicional. Mantener los sistemas encendidos preserva la memoria volátil que contiene artefactos forenses.
  2. Activa tu equipo de respuesta. Contacta simultáneamente a tu departamento de TI, proveedor de servicios de seguridad gestionada, compañía de ciberseguros y líderes departamentales. No esperes a completar la investigación antes de involucrar recursos.
  3. Determina el alcance del compromiso. Identifica qué sistemas están cifrados, qué cuentas están comprometidas y si se han exfiltrado datos. Evalúa el tráfico de red saliente en busca de grandes transferencias de datos a servicios de almacenamiento en la nube.
  4. Preserva la evidencia forense. Realiza imágenes de los sistemas afectados antes de la remediación para apoyar investigaciones policiales y reclamaciones de seguros. Documenta la línea de tiempo del ataque, demandas de rescate y cualquier comunicación con los atacantes.
  5. Involucra recursos federales. Según la guía StopRansomware de CISA, la respuesta federal incluye asistencia técnica, identificación de otras entidades en riesgo y orientación sobre recursos de recuperación. Reporta incidentes al IC3 del FBI y a CISA.
  6. Ejecuta procedimientos de recuperación. Restaura sistemas desde copias de seguridad verificadas como limpias después de confirmar su integridad. Reconstruye los sistemas comprometidos en lugar de solo eliminar el malware. Cambia todas las credenciales que puedan haber sido expuestas.

Incluso con una respuesta efectiva, las organizaciones enfrentan desafíos persistentes para defenderse de campañas de extorsión cibernética.

Desafíos y limitaciones en la defensa contra la extorsión cibernética

Las arquitecturas de seguridad tradicionales tienen dificultades para abordar los desafíos estructurales que presenta la extorsión cibernética. Las organizaciones fallan repetidamente en aplicar parches de seguridad a infraestructuras críticas, especialmente sistemas de respaldo y recuperación. Los atacantes apuntan específicamente a los sistemas de respaldo antes de cifrar los datos de producción, eliminando opciones de recuperación.

La advertencia de CISA sobre el ransomware Play documenta la explotación sistemática de configuraciones incorrectas en Active Directory. Los atacantes usan AdFind para reconocimiento, PsExec para movimiento lateral y Cobalt Strike para comunicaciones persistentes de comando y control. Tus sistemas de seguridad también enfrentan desafíos para detectar amenazas durante secuencias de ataque extendidas, ya que los operadores de ransomware Play recompilan el malware de forma única para cada ataque y así dificultan su identificación.

Abordar estos desafíos requiere evitar errores comunes que permiten campañas de extorsión exitosas.

Errores comunes en la extorsión cibernética

  • Retrasar acciones de contención: Detectas actividad sospechosa pero retrasas la implementación de medidas de aislamiento mientras investigas, permitiendo que el ransomware se propague lateralmente. La lista de verificación de ransomware de CISA enfatiza que debes aislar los sistemas afectados de inmediato y mantenerlos encendidos para la preservación forense.
  • No monitorear la exfiltración de datos: Tus herramientas de seguridad alertan sobre la ejecución de malware pero omiten semanas de exfiltración de datos previa. Según la guía de respuesta de CISA, debes monitorear Rclone, Rsync, servicios de almacenamiento de archivos web y FTP/SFTP. Las plataformas de seguridad avanzadas detectan herramientas de exfiltración por su comportamiento: procesos que acceden a miles de archivos, comprimen datos e inician conexiones salientes a la nube.
  • Uso de credenciales predeterminadas en sistemas críticos: Según la advertencia CISA AA23-278A, las credenciales predeterminadas siguen siendo una de las configuraciones incorrectas más explotadas, especialmente en sistemas de respaldo, dispositivos VPN y portales administrativos.

Estos errores son prevenibles. Las agencias gubernamentales proporcionan orientación específica que aborda directamente cada vulnerabilidad explotada por los atacantes.

Mejores prácticas para la extorsión cibernética

Las agencias gubernamentales proporcionan orientación específica para la prevención y respuesta ante la extorsión cibernética:

  • Implementa autenticación multifactor de forma universal. La guía conjunta CISA/FBI/NSA StopRansomware exige MFA para todos los servicios, especialmente correo web, VPN y acceso a sistemas críticos.
  • Configura Kerberos-IPsec para comunicaciones SMB. La guía StopRansomware de CISA recomienda requerir IPsec basado en Kerberos para comunicaciones SMB laterales y así evitar que los atacantes accedan a sistemas fuera de tu dominio de Active Directory.
  • Mantén copias de seguridad cifradas fuera de línea. La guía conjunta CISA/FBI/NSA especifica que las copias de seguridad deben estar aisladas de conexiones de red y cifradas.
  • Monitorea herramientas de exfiltración de datos. Según la guía de ransomware de CISA, monitorea Rclone, Rsync, servicios de almacenamiento de archivos web y FTP/SFTP.
  • Descubre dispositivos no gestionados. Utiliza descubrimiento continuo de activos para encontrar dispositivos no gestionados y shadow IT que puedan tener credenciales predeterminadas.
  • Involucra recursos federales de forma proactiva. La respuesta federal incluye asistencia técnica, identificación de otras entidades en riesgo y orientación sobre recursos de recuperación.

Seguir estas prácticas fortalece tus defensas base. Incidentes recientes demuestran lo que ocurre cuando las organizaciones no las implementan.

Ejemplos reales de incidentes de extorsión cibernética

Las campañas recientes de extorsión cibernética demuestran cómo los atacantes combinan múltiples tácticas para maximizar la presión sobre las víctimas.

  1. Change Healthcare (febrero 2024): El grupo BlackCat (ALPHV) infiltró Change Healthcare explotando una sola cuenta sin MFA. Los atacantes exfiltraron datos sensibles y desplegaron ransomware que detuvo pagos electrónicos y procesamiento de reclamaciones médicas a nivel nacional. Según el portal de brechas de la Oficina de Derechos Civiles de HHS, la brecha afectó a aproximadamente 190 millones de personas, convirtiéndose en la mayor filtración de datos de salud en la historia de EE. UU. El incidente demostró cómo una sola debilidad de credenciales puede desencadenar una interrupción operativa nacional.
  2. Synnovis-NHS (junio 2024): La banda de ransomware Qilin atacó Synnovis, un proveedor de patología del NHS, obligando a hospitales de Londres a posponer más de mil procedimientos electivos y miles de citas ambulatorias. Se retrasaron transfusiones de sangre, resultados de pruebas y tratamientos contra el cáncer. Los atacantes robaron datos sensibles y exigieron pago, publicando registros robados cuando las negociaciones fracasaron. El ataque demostró cómo los compromisos de terceros afectan directamente la prestación de atención médica crítica.
  3. Brechas de clientes de Snowflake (mayo 2024): Los atacantes explotaron credenciales comprometidas para acceder a la plataforma de datos en la nube de Snowflake, afectando a más de 100 clientes, incluidas grandes corporaciones. Los atacantes exfiltraron grandes volúmenes de datos de clientes y emplearon tácticas de extorsión, exigiendo rescates a las empresas afectadas para evitar la publicación de datos. El incidente destacó los riesgos de la cadena de suministro cuando los atacantes apuntan a proveedores de infraestructura compartida.
  4. Blue Yonder (noviembre 2024): El grupo de ransomware Termite atacó Blue Yonder, un importante proveedor de software de cadena de suministro, interrumpiendo servicios para miles de clientes empresariales. Termite desplegó tácticas de doble extorsión, cifrando sistemas mientras amenazaba con filtrar datos robados. El ataque demostró cómo los compromisos en la cadena de suministro amplifican el impacto en múltiples organizaciones simultáneamente.

Estos incidentes comparten elementos comunes: presencia extendida del atacante antes del cifrado, explotación de debilidades de credenciales o vulnerabilidades sin parches y tácticas de presión multinivel. Las organizaciones con plataformas de seguridad capaces de detectar reconocimiento y correlacionar indicadores de ataque pueden interrumpir estas campañas antes de que lleguen a la etapa de cifrado.

Defiéndete de la extorsión cibernética con SentinelOne

El aumento del 134% en las denuncias de extorsión confirma que los actores de amenazas han migrado a campañas multinivel. La cadena de ataque extendida significa que tienes múltiples oportunidades para detener los ataques antes de que lleguen las demandas de rescate. La plataforma Singularity de SentinelOne aborda cada etapa del ataque con capacidades diseñadas para interrumpir la cadena de extorsión antes de que comience el cifrado.

Singularity XDR detecta patrones de reconocimiento correlacionando consultas AdFind contra controladores de dominio, procesos padre que lanzan herramientas de enumeración y direcciones IP externas que reciben resultados. Purple AI acelera la investigación aceptando consultas en lenguaje natural como "muéstrame todos los sistemas a los que accedió esta cuenta comprometida en las últimas 72 horas". Purple AI reduce el tiempo de investigación hasta en un 80%, permitiendo a tu equipo detener la exfiltración de datos antes de que se despliegue el cifrado.

Storyline reconstruye cadenas completas de ataque correlacionando ejecuciones de procesos, modificaciones de archivos y conexiones de red en líneas de tiempo unificadas. En las evaluaciones MITRE ATT&CK, la plataforma Singularity generó un 88% menos de alertas que los competidores: solo 12 alertas frente a 178,000 de otras plataformas.

Ranger proporciona descubrimiento continuo de activos para encontrar dispositivos no gestionados y shadow IT que puedan tener credenciales predeterminadas. Según la advertencia CISA AA23-278A, los actores maliciosos abusan regularmente de credenciales predeterminadas en dispositivos VPN y portales administrativos.

Agenda una demostración de SentinelOne para experimentar estas capacidades en tu entorno.

Puntos clave

La extorsión cibernética ha evolucionado de ransomware simple a campañas multinivel que combinan robo de datos, ataques DDoS y ataques a la cadena de suministro. El FBI documentó un aumento del 134% en las denuncias de extorsión en 2024, con atacantes permaneciendo días o semanas dentro de las redes antes de desplegar el cifrado. Esta línea de tiempo extendida crea múltiples ventanas defensivas donde puedes detener ataques durante el reconocimiento, robo de credenciales o exfiltración de datos.

Defenderse de estas campañas requiere pasar de buscar malware en la etapa de cifrado a detectar el comportamiento del atacante días antes. Singularity XDR correlaciona patrones de reconocimiento, Purple AI acelera la investigación con consultas en lenguaje natural, Storyline reconstruye cadenas completas de ataque y Ranger descubre activos no gestionados antes de que los atacantes los exploten.

Preguntas frecuentes

La extorsión cibernética es una categoría de ciberdelito en la que los atacantes comprometen sistemas o roban datos y luego exigen un pago para evitar daños. A diferencia del robo simple, la extorsión cibernética implica amenazas continuas: pagar o enfrentar cifrado, publicación de datos o interrupción operativa. 

Defenderse requiere capacidades que abarquen prevención, identificación y respuesta.

Los extorsionadores cibernéticos seleccionan objetivos según los ingresos, la capacidad de pago, la sensibilidad de los datos, el estatus de infraestructura crítica y la cobertura de ciberseguro. Manufactura, servicios financieros y atención médica representan los sectores más atacados. 

Los atacantes también apuntan a organizaciones con urgencia operativa, incluyendo hospitales que no pueden retrasar la atención a pacientes y fabricantes con cronogramas de producción justo a tiempo.

Los ataques de extorsión cibernética explotan brechas de seguridad específicas. Según la advertencia de CISA sobre configuraciones erróneas cibernéticas, los atacantes explotan vulnerabilidades sin parches y abusan de credenciales predeterminadas para VPN y acceso administrativo. 

Los programas de ciberseguridad efectivos abordan estos vectores de ataque mediante la aplicación agresiva de parches, la gestión de credenciales y la monitorización de seguridad.

El ransomware tradicional cifra los datos y exige un pago por las claves de descifrado. La extorsión cibernética moderna suma múltiples tácticas de presión: robo de datos con amenazas de divulgación pública, ataques DDoS durante negociaciones y ataques a la cadena de suministro. Cada táctica adicional aumenta la presión sobre la víctima para pagar.

CISA recomienda explícitamente no pagar rescates porque el pago no garantiza el descifrado ni que los atacantes se abstendrán de divulgar los datos robados. 

Muchas víctimas que pagaron sufrieron ataques repetidos o descifrado incompleto. En su lugar, enfoque los recursos en la restauración de copias de seguridad y la investigación forense.

Investigaciones del FBI documentan que actores de amenazas sofisticados pasan días o semanas dentro de las redes antes de desplegar ransomware. El análisis de Play ransomware de CISA muestra a los atacantes realizando reconocimiento de Active Directory, mapeo de infraestructura de copias de seguridad y exfiltración de datos durante períodos prolongados antes del cifrado.

Los sectores críticos, incluidos manufactura, salud, energía, transporte y servicios financieros, enfrentan una focalización desproporcionada. 

Los atacantes seleccionan objetivos según ingresos, capacidad de pago, sensibilidad de los datos, estatus de infraestructura crítica y cobertura de ciberseguro.

La lista de verificación de ransomware de CISA exige aislar inmediatamente los sistemas afectados de la red mientras se mantienen encendidos para preservar la evidencia forense. Contacte simultáneamente a su departamento de TI, proveedor de servicios de seguridad gestionada, compañía de ciberseguros y líderes departamentales.

Descubre más sobre Inteligencia sobre amenazas

¿Qué es el malware polimórfico? Ejemplos y retosInteligencia sobre amenazas

¿Qué es el malware polimórfico? Ejemplos y retos

El malware polimórfico cambia su código para evadir la detección. Comprenda sus características y cómo protegerse contra esta amenaza adaptativa.

Seguir leyendo
¿Qué es el adware? Consejos para su detección y prevenciónInteligencia sobre amenazas

¿Qué es el adware? Consejos para su detección y prevención

Esta guía detallada explica qué es el adware, incluyendo su definición, vías de infección, métodos de detección y consejos de prevención. Aprenda a eliminar el adware, proteger sus dispositivos y proteger a su empresa de las amenazas del adware.

Seguir leyendo
¿Qué son los indicadores de compromiso (IoC)?Inteligencia sobre amenazas

¿Qué son los indicadores de compromiso (IoC)?

Los indicadores de compromiso (IOC) ayudan a identificar las brechas de seguridad. Descubra cómo utilizar los IOC para detectar y responder eficazmente a las amenazas.

Seguir leyendo
¿Qué es un exploit en ciberseguridad?Inteligencia sobre amenazas

¿Qué es un exploit en ciberseguridad?

Es fundamental comprender los exploits y defenderse de ellos. Explore los diferentes tipos de exploits y las medidas prácticas que puede tomar para proteger sus sistemas de posibles amenazas.

Seguir leyendo
¿Está listo para revolucionar sus operaciones de seguridad?

¿Está listo para revolucionar sus operaciones de seguridad?

Descubra cómo SentinelOne AI SIEM puede transformar su SOC en una central autónoma. Póngase en contacto con nosotros hoy mismo para obtener una demostración personalizada y ver el futuro de la seguridad en acción.

Solicitar una demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español