defensiva
ransomware
qué es ransomware
LockBit

Qué es un ransomware: cómo funciona, ejemplos reales y cómo defenderse

Qué es un ransomware: cómo cifra ficheros, doble extorsión, familias activas (LockBit, BlackCat, Akira), vectores de entrada, defensa práctica y respuesta a un incidente.

Secra8 de mayo de 202611 min de lectura

Un ransomware es un tipo de malware que cifra los ficheros del equipo o de la red comprometida y exige un rescate, habitualmente en criptomoneda, a cambio de la clave de descifrado. Las variantes modernas no se limitan a cifrar: exfiltran los datos antes y amenazan con publicarlos si la víctima no paga, lo que se conoce como doble extorsión. Es la familia de malware con mayor impacto operativo y económico para empresas hoy y la principal causa de declaración de incidente bajo NIS2 en Europa.

Esta guía explica qué es un ransomware, cómo entra y cómo opera dentro de una organización, qué familias siguen activas en 2026, qué controles realmente reducen el riesgo y cómo se gestiona la respuesta a un incidente.

Qué es un ransomware

Un ransomware es un programa malicioso cuyo objetivo es bloquear el acceso a los datos de la víctima (cifrándolos con clave conocida sólo por el atacante) y monetizar ese bloqueo a través de un pago de rescate. La transacción es coactiva: paga o pierde los datos, o paga o se publican.

Tres elementos distinguen al ransomware de otras familias de malware:

  • Cifrado masivo de ficheros con algoritmos modernos (AES-256 en simétrico, RSA-2048 o Curve25519 en asimétrico). El cifrado es matemáticamente irreversible sin la clave del atacante.
  • Mensaje de rescate dejado en el filesystem (típicamente README.txt o HOW_TO_DECRYPT.txt en cada carpeta) con instrucciones para pagar y un enlace al portal del grupo en Tor.
  • Modelo económico criminal estructurado (Ransomware-as-a-Service, RaaS): el desarrollador del ransomware mantiene la herramienta, los afiliados ejecutan los ataques y el botín se reparte con un porcentaje pactado.

La doble (y triple) extorsión añade exfiltración previa al cifrado, amenaza de publicación de datos en sitio leak en Tor y, en algunos casos, ataque DDoS adicional o llamadas a clientes de la víctima como presión.

Cómo opera un ransomware paso a paso

El cifrado en sí es la fase final. Antes el atacante ya ha hecho el trabajo de meses o semanas:

  1. Acceso inicial. Phishing con adjunto, explotación de un servicio expuesto sin parchear (VPN, RDP, Citrix, panel admin), compra de credenciales robadas por infostealers en marketplaces criminales o compromiso de cadena de suministro. El ransomware se ha movido del "spray and pray" al "big game hunting" dirigido a empresas con capacidad de pagar.
  2. Reconocimiento y movimiento lateral. El atacante mapea la red, identifica controladores de dominio, servidores de backup, NAS, hipervisores y datos sensibles. Usa herramientas legítimas (PsExec, BloodHound, AnyDesk, RClone) para no levantar sospechas.
  3. Escalada de privilegios y persistencia. Captura credenciales de Active Directory (Mimikatz, kerberoasting), crea cuentas privilegiadas alternativas, desactiva EDR donde puede, manipula GPOs.
  4. Exfiltración de datos. Antes de cifrar, sube los ficheros sensibles a su infraestructura. Mega, Dropbox, RClone a S3 propio, túnel SSH inverso. Esta fase puede durar días o semanas.
  5. Despliegue del ransomware. Cuando el atacante decide ejecutar, lanza el binario coordinado por GPO, PsExec o software de despliegue legítimo del cliente. En minutos cifra ficheros, vuelca shadow copies y sabotea backups online.
  6. Negociación. La víctima entra al portal del grupo en Tor con la ID que aparece en el mensaje de rescate. El grupo presenta la demanda y, si hay datos exfiltrados, una muestra como prueba.

El tiempo medio entre acceso inicial y cifrado (dwell time) oscila según el grupo y la madurez defensiva: entre 24 horas y varias semanas. En 2025-2026, los grupos más rápidos como Akira o Play ejecutan en menos de 48 horas tras el acceso inicial.

Familias activas en 2025-2026

El panorama cambia con cada operación policial pero las familias dominantes hoy:

  • LockBit. La familia con más volumen acumulado de víctimas. Tras la operación Cronos (2024) sufrió disrupción importante pero variantes y forks (LockBit 4.0, derivadas) siguen operando.
  • BlackCat / ALPHV. Cierre teatral en marzo 2024 (exit scam tras pago multimillonario) pero los afiliados se reagruparon en grupos sucesores. RustyMonkey, Cicada3301 y otras heredan código y TTPs.
  • Akira. Activo desde 2023, foco en empresas medianas. Doble extorsión y operación profesional.
  • Play. Activo y de los más rápidos en dwell time (acceso a cifrado en horas).
  • Royal / BlackSuit. Sucesor de Conti, operación dirigida a sanidad y sector público en EEUU y Europa.
  • Medusa. Ramsomware con comunicación pública agresiva. Activo en sector público y educación.
  • Qilin. Crecimiento en 2024-2025 tras la caída de BlackCat, ataques notorios al NHS de Reino Unido.

La mayoría opera bajo modelo RaaS: el desarrollador mantiene la plataforma y herramientas, los afiliados ejecutan campañas y se llevan 70-80% del rescate. El modelo profesionaliza el crimen y baja la barrera de entrada para nuevos actores.

Vectores de entrada más frecuentes

Tres vías concentran casi todos los incidentes documentados en informes de IBM, Verizon DBIR, ENISA Threat Landscape y Coveware:

  1. Phishing con adjunto o enlace. Sigue siendo el vector número uno. Documentos Office con macros, PDFs maliciosos, enlaces a páginas de credenciales falsas que sirven para robar credenciales SSO o entregar un loader.
  2. Servicios expuestos sin parchear o sin MFA. VPN con CVE público sin parche (Fortinet, Citrix, SonicWall, Ivanti han sido titulares varias veces), RDP abierto a Internet, paneles administrativos sin MFA, exchanges Microsoft on-premises. Cada CVE crítico en estos productos genera campañas masivas en horas.
  3. Acceso comprado a Initial Access Brokers. Mercado activo donde otros actores venden credenciales válidas o sesiones SSO robadas por infostealers (Lumma, Redline, Vidar). El grupo de ransomware compra acceso ya listo y ejecuta directamente movimiento lateral.

Otros vectores: cadena de suministro (SolarWinds, Kaseya, 3CX), ataque a proveedor de servicios gestionados que llega a múltiples clientes, USB en entornos OT, drive-by download desde sitios web comprometidos.

Defensa contra ransomware: lo que realmente funciona

No hay un control único. La combinación que reduce el riesgo materialmente:

  • MFA en todo lo que esté expuesto a Internet. VPN, RDP, paneles admin, SaaS críticos. Anula gran parte del valor de credenciales y cookies robadas. Los infostealers modernos roban cookies post-MFA, así que combinar con sesiones cortas y revisión de actividad anómala completa el control.
  • Patch management agresivo sobre superficie expuesta. VPN, firewall, equipos perimetrales, exchanges, paneles admin. Los CVEs críticos en estos productos se explotan masivamente en horas. El SLA de parcheo para superficie externa debería ser días, no semanas.
  • EDR con respuesta automática. Detecta el cifrado masivo, la eliminación de shadow copies y la comunicación con C2 conocidos. Algunos productos (SentinelOne, ciertas configuraciones de CrowdStrike) hacen rollback de ficheros cifrados durante los segundos previos al bloqueo.
  • Segmentación de red real. Estaciones de trabajo en VLANs separadas de servidores. Servidores críticos (DC, backup, ERP) accesibles sólo desde bastiones controlados. Sin segmentación, un endpoint comprometido se convierte en cifrado del dominio entero.
  • Backups offline y testados. Backups inmutables (object lock, snapshots fuera del dominio, cintas, S3 cross-account con MFA delete) que el atacante no puede borrar aunque tenga admin de dominio. Testar restauración real al menos cada trimestre. Es la única salida real cuando el ransomware ha completado el cifrado.
  • Privilege management y tiering de Active Directory. Cuentas privilegiadas separadas, Tier 0 protegido, eliminación de credenciales en memoria al bloquear sesión, monitorización de kerberoasting y DCSync.
  • SOC con monitorización 24x7 al menos en los activos críticos. La mayoría de ransomware se ejecuta fuera de horario laboral porque el atacante sabe que el equipo no está mirando.
  • Tabletop annual con escenario de ransomware. Ejercitar comunicación, decisión de pago, restauración y notificación regulatoria antes de que pase. El primer ransomware no es momento de improvisar.

Pagar o no pagar: qué dice la ley y la realidad operativa

Las recomendaciones oficiales de CISA, INCIBE-CERT y Europol son claras: no pagar. Pagar financia al ecosistema criminal, no garantiza la entrega de la clave (en casos documentados los descifradores fallan o los datos exfiltrados aparecen igual) y no evita la replica del incidente.

La realidad operativa de las víctimas es matizada. Cuando el negocio está completamente parado, los backups están comprometidos y el coste de no operar supera el rescate, algunas organizaciones pagan. Conviene saber:

  • Pagar a determinados grupos puede ser ilegal. Sanciones internacionales (OFAC en EEUU, sanciones de la UE) prohíben pagos a grupos específicos. Confirmar con el departamento legal antes de transferir es obligatorio.
  • Pagar no exime de notificación regulatoria. Bajo NIS2 (en España vía Real Decreto-ley 7/2025) y RGPD, la notificación al organismo competente y a afectados aplica igual.
  • Documentar todo. Comunicaciones con el grupo, decisión de pago o no, criterios usados, todo se conserva como evidencia para auditor, regulador y aseguradora cyber.

Ransomware y compliance: NIS2, DORA, RGPD

  • NIS2 (artículo 23). Notificación de incidente significativo en 24 horas (preliminar) y 72 horas (informe). El ransomware en una entidad esencial casi siempre cumple criterios de incidente significativo y debe notificarse a INCIBE-CERT en España.
  • DORA (artículo 19). Notificación de incidente operativo grave a la autoridad supervisora (Banco de España, CNMV, DGSFP según el caso) en plazos similares. Para entidades financieras significativas, inclusión en pruebas TLPT bajo TIBER-EU.
  • RGPD (artículo 33-34). Si el ransomware comprometió datos personales (acceso o exfiltración), notificación a la AEPD en 72 horas y, si el riesgo es alto, comunicación directa a los afectados.

La documentación del incidente, las medidas de contención y la línea temporal forman parte de la evidencia que el regulador puede pedir y que el auditor del año siguiente revisará al evaluar el control de continuidad.

Preguntas frecuentes

¿Es lo mismo ransomware que malware?

No. El ransomware es un tipo concreto de malware. Otros tipos (troyanos, RATs, infostealers, rootkits) tienen objetivos distintos: acceso remoto, robo de credenciales, espionaje, persistencia. Lo que distingue al ransomware es el cifrado masivo de datos y la demanda de rescate como modelo económico.

¿Hay forma de descifrar los archivos sin pagar?

A veces. La iniciativa No More Ransom (Europol + Politie + McAfee + Kaspersky) mantiene un repositorio público con descifradores para familias antiguas o cuyos servidores fueron incautados (LockBit 3.0 antiguo, ciertas variantes de Conti, REvil pre-disrupción). Para las familias activas más recientes no hay descifrador público. La única vía fiable de recuperación sin pagar es restaurar desde backup limpio.

¿Cuánto tarda en recuperarse una empresa tras un ransomware?

Depende del estado de los backups y de la madurez defensiva. Con backups offline testados y EDR/SIEM operativos, la recuperación puede ser días. Sin backups fiables o con backups comprometidos también, puede ser semanas o meses. Estudios anuales (IBM Cost of a Data Breach, Sophos State of Ransomware) sitúan el coste medio del incidente en millones cuando se suman parada operativa, recovery, asesoría legal y mejoras posteriores forzadas.

¿La aseguradora cyber cubre el rescate?

Algunas pólizas lo cubren, pero las condiciones están endureciéndose mucho. Las aseguradoras exigen MFA, EDR, backups offline y plan de respuesta como prerrequisito y, sin esos controles, deniegan cobertura o la limitan. La cobertura del rescate además choca con las restricciones legales si el grupo está en lista de sanciones.

¿Qué hago si veo el ransomware ejecutándose ahora mismo?

Aislar inmediatamente el equipo de la red sin apagarlo (apagar destruye memoria útil para forense), avisar al equipo de seguridad o a un proveedor DFIR de guardia, no manipular ficheros y conservar el mensaje de rescate intacto. Si la organización está bajo NIS2, abrir reporte a INCIBE-CERT en cuanto esté contenido el incidente. La velocidad de aislamiento determina el alcance del daño.

¿El antivirus o el EDR detienen el ransomware?

El antivirus tradicional sólo bloquea variantes con firma conocida y se queda corto contra familias modernas. El EDR moderno detecta el patrón de cifrado masivo y la eliminación de shadow copies en los primeros segundos y, en algunos productos, deshace el daño con rollback. Ninguno reemplaza el resto de la cadena (MFA, parcheo, segmentación, backup).

Recursos relacionados

  • Tipos de malware: el ransomware en el contexto de las 12 familias principales de malware con ejemplos reales.
  • Qué es un EDR: la pieza de endpoint que detecta el cifrado masivo y, en algunos productos, deshace el daño.
  • Qué es un SIEM: cómo el SIEM correlaciona el movimiento lateral previo al cifrado.
  • Qué es un SOC: el equipo y los procesos que detectan y contienen el incidente antes de la fase de cifrado.
  • Qué es un CVE: los identificadores de las vulnerabilidades que muchos grupos explotan para conseguir acceso inicial.

Respuesta a ransomware en Secra

En Secra ayudamos a organizaciones a contener incidentes de ransomware en curso (DFIR), recuperar operación con la mínima pérdida de datos, conservar evidencia para regulador y aseguradora, y reforzar la postura defensiva tras el incidente para reducir la probabilidad de repetición. Si tu equipo está gestionando un ransomware activo o quiere preparar el playbook antes del primero, escríbenos a través de contacto o consulta nuestro servicio de DFIR y respuesta a incidentes.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

defensiva

Qué es threat hunting: definición, metodología y herramientas

Qué es el threat hunting: cómo se diferencia de la detección reactiva, metodologías (hipótesis, IoC-driven, TTP-driven), MITRE ATT&CK, herramientas y ejemplos prácticos.

2026-05-0911 min
defensiva

Tipos de malware: definición, ejemplos reales y cómo se detectan

Qué es un malware, los 12 tipos principales (virus, gusano, troyano, ransomware, spyware, rootkit, infostealer, RAT, fileless, dropper) con ejemplos reales y defensa práctica.

2026-05-0713 min
defensiva

Qué es un CVE: definición, cómo funciona y por qué importa

Qué es un CVE (Common Vulnerabilities and Exposures): cómo se asigna, diferencia con CVSS, CWE y EPSS, dónde se publica (NVD, GHSA, INCIBE-CERT) y cómo afecta a tu empresa.

2026-05-0611 min