- El ransomware es un malware de extorsión que cifra o bloquea sistemas y exige un pago para recuperar el acceso.
- Existen múltiples variantes y modelos como RaaS, usadas en ataques masivos contra usuarios, empresas e instituciones.
- La prevención combina parches, copias de seguridad aisladas, soluciones de seguridad y formación en ingeniería social.
- Ante una infección es clave no pagar, aislar equipos, avisar a especialistas y restaurar desde backups limpios.
El ransomware se ha convertido en uno de los ciberataques más lucrativos y destructivos de la última década. Afecta por igual a personas, pequeñas empresas, grandes corporaciones e incluso a instituciones públicas esenciales como hospitales o ayuntamientos. En los últimos años hemos visto cómo organizaciones enteras quedaban literalmente “secuestradas” durante días o semanas, con pérdidas millonarias y un impacto brutal en su reputación.
Aunque muchos lo asocian a noticias puntuales como WannaCry o ataques a administraciones públicas, la realidad es que el ransomware es hoy un negocio profesionalizado, global y muy bien organizado. Entender qué es, cómo funciona, qué tipos existen, cómo se propaga y, sobre todo, cómo prevenirlo y reaccionar ante un incidente, es clave para cualquier usuario u organización que quiera vivir algo más tranquila en el mundo digital.
Qué es el ransomware y cómo funciona
En términos sencillos, el ransomware es un tipo de malware diseñado para bloquear el acceso a un dispositivo o a sus archivos hasta que la víctima paga un rescate. Ese rescate suele exigirse en criptomonedas u otros métodos de pago difíciles de rastrear. El objetivo del atacante es la extorsión económica: convertir tus datos y tus sistemas en rehenes.
Este código malicioso puede actuar de varias formas: cifrando documentos, fotos y bases de datos, bloqueando la pantalla por completo o combinando ambas tácticas. Una vez que el ransomware se ejecuta, muestra un mensaje donde se indican las instrucciones de pago, el importe, el plazo y, en ocasiones, se añaden amenazas adicionales (publicar datos, subir el precio, destruir la información, etc.).
En la práctica, cuando un sistema está comprometido, la desinfección completa y la recuperación de los archivos no suelen ser sencillas. Muchas variantes aplican criptografía fuerte (habitualmente asimétrica), de modo que sin la clave privada que controlan los atacantes, es matemáticamente inviable descifrar la información.
Por todo ello, las autoridades y los expertos recomiendan no pagar el rescate: no hay garantía de que devuelvan el acceso, se fomenta el negocio criminal y se corre el riesgo de ser objetivo de nuevos ataques al saberse que la víctima está dispuesta a pagar.
Breve historia y evolución del ransomware
El concepto de secuestro digital no es nuevo. El primer incidente documentado se remonta a 1989, con el llamado troyano AIDS o “PC Cyborg”, distribuido en disquetes. Este malware ocultaba los directorios y exigía alrededor de 189 dólares para restaurar el acceso. Técnicamente era rudimentario: cifraba solo los nombres de archivo, por lo que el daño se podía revertir con relativa facilidad.
En 1996, los investigadores Adam L. Young y Moti Yung introdujeron el término “extorsión criptoviral”. Plantearon, desde el ámbito académico, cómo un malware podía aprovechar la criptografía moderna (clave pública y privada) para cifrar datos de forma irrompible sin la colaboración del atacante. Ese trabajo adelantó con bastante precisión el modelo que hoy utilizan muchas familias de ransomware.
A principios de los 2000 hubo algunos casos aislados, pero es alrededor de 2005 cuando se observa un repunte, especialmente en Rusia y Europa del Este. Aparecen las primeras variantes que usan cifrado asimétrico, haciendo casi imposible la recuperación sin la clave de los delincuentes, y el modelo empieza a resultar muy rentable.
En 2009 irrumpe un factor clave: las criptomonedas, con Bitcoin a la cabeza. Por primera vez, los ciberdelincuentes disponen de una forma de cobrar rescates sin revelar su identidad ni depender de transferencias bancarias tradicionales. Este avance dispara la viabilidad del ransomware como negocio global.
La etapa moderna comienza en 2013 con CryptoLocker, que populariza el uso sistemático de claves RSA de 2048 bits para cifrar ficheros y exigir pagos en Bitcoin o cupones prepago. A partir de ahí, el número de familias y variantes crece de forma exponencial.
Casos y familias de ransomware más conocidos
A lo largo de los años han aparecido decenas de familias, cada una con sus particularidades. Algunas han marcado hitos importantes y sirven para entender cómo ha ido evolucionando la amenaza.
Uno de los primeros ejemplos mediáticos fue Reveton, detectado en 2012. Este ransomware mostraba una pantalla de bloqueo supuestamente perteneciente a la policía o a agencias como el FBI, acusando al usuario de delitos como piratería o pornografía infantil y exigiendo el pago de una “multa”. Jugaba con el miedo y la vergüenza de la víctima utilizando logotipos oficiales y mostrando datos como la IP o la imagen de la webcam.
En paralelo surgen variantes de cifrado de archivos como PGPCoder, CryptoWall o TorrentLocker. Muchas de ellas explotan vulnerabilidades del navegador o se distribuyen mediante campañas de correo masivo. En algunos casos, errores de diseño (por ejemplo, reutilizar la misma clave en muchos equipos) han permitido a investigadores desarrollar herramientas de descifrado gratuitas.
En 2016 aparece Mamba, que da un paso más allá: en lugar de cifrar archivos individuales, aplica cifrado de disco completo (FDE) usando herramientas como DiskCryptor. Esto impide incluso el arranque del sistema sin la clave de descifrado, aumentando el impacto en la víctima.
El año 2017 se recuerda sobre todo por WannaCry, un ransomware tipo gusano (criptogusano) que aprovecha la vulnerabilidad MS17-010 en Windows, filtrada del arsenal de herramientas de la NSA. En pocas horas cifró datos en más de 75.000 equipos de todo el mundo, afectando a infraestructuras críticas, hospitales, empresas energéticas y multitud de organizaciones públicas y privadas.
En 2018 toma protagonismo Ryuk, centrado en grandes empresas y organismos (hospitales, ayuntamientos, ministerios, medios de comunicación…). Esta familia destaca por su capacidad de propagación aprovechando servicios de red como SMB y RPC y por utilizar claves distintas por organización, lo que dificulta que una solución de descifrado sirva para múltiples víctimas.
Al mismo tiempo, algunas familias han sido “retiradas” o abandonadas. En el caso de TeslaCrypt, sus desarrolladores llegaron a publicar la clave maestra, permitiendo a empresas de seguridad lanzar herramientas gratuitas para recuperar los ficheros cifrados.
En los últimos años proliferan grupos como LockBit, Conti y sus derivados, que profesionalizan el modelo como Ransomware as a Service (RaaS) y adoptan tácticas de doble y triple extorsión: cifran sistemas, roban datos sensibles y amenazan con publicarlos o con lanzar ataques adicionales si no se paga.
Principales tipos de ransomware
Dentro de la familia ransomware encontramos varias categorías según el modo en que secuestran el sistema o los datos. Aunque la clasificación no es perfecta, suele hablarse de dos grandes grupos con distintos subtipos.
Ransomware de cifrado (crypto-ransomware): es el más extendido y dañino. Cifra archivos o bases de datos del usuario, a menudo en discos locales y en unidades de red, usando algoritmos criptográficos robustos. Sin la clave o sin un fallo en la implementación, recuperar la información es prácticamente imposible.
Ransomware de bloqueo (locker): en lugar de cifrar datos, bloquea el acceso al dispositivo mostrando una ventana a pantalla completa que impide utilizar el sistema. Suele usarse en dispositivos móviles, pero también se ha visto en PCs. Al recuperar el control, los archivos del usuario siguen intactos.
Sobre estos dos bloques se construyen varios subtipos interesantes:
- Scareware o software de intimidación: se presenta como un antivirus o herramienta de limpieza que detecta supuestas infecciones y exige un pago para “solucionar” el problema. En muchos casos apenas genera molestias visuales y no cifra nada, pero su objetivo es que el usuario pague por miedo.
- Doxware: roba información sensible (datos personales, documentos confidenciales) y amenaza con publicarla si no se abona el rescate. Aquí el daño reputacional y legal pesa tanto o más que la pérdida de acceso a los ficheros.
- Doble extorsión: combina cifrado de archivos con robo de datos. El atacante presiona a la víctima amenazando con filtrar la información aunque consiga restaurar copias de seguridad.
- Destrucción de datos: algunas variantes no están realmente diseñadas para restituir la información ni aunque se pague. Su fin es borrar o corromper los datos tras el plazo, usándose a veces como arma en conflictos geopolíticos o ciberataques dirigidos.
- Bloqueadores, cifradores e híbridos: tradicionalmente se agrupan en bloqueadores de sistema completo, cifradores de ficheros (filecoders) e híbridos que mezclan ambas técnicas, como hizo CryptoLocker.
Cómo se propaga el ransomware
Los atacantes disponen de múltiples vectores para introducir ransomware en un equipo o red. En muchos casos combinan ingeniería social con explotación de vulnerabilidades técnicas para maximizar sus probabilidades de éxito.
Una vía clásica es el malspam: campañas masivas de correo electrónico con adjuntos o enlaces maliciosos. El mensaje intenta parecer legítimo (facturas, avisos de mensajería, comunicaciones de bancos, notificaciones de Correos, etc.) para que el usuario abra el archivo o pulse en el enlace. A menudo se utilizan documentos ofimáticos con macros, ficheros comprimidos o PDFs adulterados.
También se emplea el malvertising: anuncios maliciosos insertados incluso en webs legítimas mediante redes publicitarias comprometidas. Basta visitar la página para que, a través de iframes ocultos y kits de exploits, se descargue y ejecute el malware, en ocasiones sin que el usuario haga clic en nada (descarga sin consentimiento).
En entornos corporativos se ha vuelto habitual el spear phishing, un phishing dirigido contra personas o departamentos concretos, con mensajes muy cuidados que imitan procesos internos (políticas de RRHH, comunicados del CEO, peticiones urgentes de facturación…). Cuando los objetivos son altos directivos se habla de “whaling”, porque el “premio” potencial es mayor.
Detrás de muchos de estos métodos está la ingeniería social: recopilar información sobre la víctima (redes sociales, webs corporativas, noticias, filtraciones previas) para construir mensajes creíbles que despierten curiosidad, miedo o urgencia. El usuario termina ejecutando el archivo malicioso o facilitando credenciales de acceso sin darse cuenta.
Además de las trampas al usuario, los ciberdelincuentes explotan vulnerabilidades sin parchear en sistemas operativos, servicios expuestos a Internet, aplicaciones desactualizadas o configuraciones débiles (como escritorios remotos abiertos sin protección adecuada). WannaCry y variantes de Petya demostraron lo devastador que puede resultar aprovechar una sola debilidad ampliamente presente.
Modelo de negocio: Ransomware as a Service (RaaS)
Con el tiempo el ransomware ha pasado de ser una herramienta de unos pocos grupos técnicos a un ecosistema criminal completo. Hoy en día existe un mercado en el que distintos actores se reparten tareas y beneficios.
Por un lado están los desarrolladores, quienes crean el código, lo mejoran, corrigen errores y añaden nuevas técnicas de evasión. Otros se encargan de la infraestructura: alojar servidores de mando y control, gestionar webs en la Dark Web, preparar paneles de seguimiento de víctimas, etc.
En muchos casos se ofrece el paquete como Ransomware as a Service (RaaS). Cualquier ciberdelincuente con pocos conocimientos puede alquilar o comprar el kit, lanzar campañas de infección y compartir los beneficios con los operadores de la plataforma. Estos, a cambio, proporcionan manuales, soporte, actualizaciones y, en ocasiones, incluso “atención al cliente” para negociar con las víctimas.
Herramientas como Stampado, Philadelphia, Cerber, GrandCrab, Ako, LockBit o Satán han seguido este modelo, cobrando suscripciones o comisiones sobre los pagos recibidos. De esta forma, el ransomware se ha industrializado, con roles especializados (programadores, distribuidores, recaudadores, lavadores de dinero) y un flujo económico estimado en cientos o miles de millones de dólares al año.
Impacto global y tendencia actual
En la última década el ransomware ha pasado de ser una curiosidad técnica a una amenaza estratégica para empresas y servicios esenciales. Se han visto ataques contra ayuntamientos, hospitales, bancos, universidades, compañías eléctricas, medios de comunicación y todo tipo de PYMEs.
Los informes recientes indican que los pagos de rescates superaron por primera vez los 1.000 millones de dólares anuales, con medias que rondan los cientos de miles de dólares por incidente en el ámbito corporativo. Y eso sin contar los costes indirectos: paradas de producción, pérdida de clientes, sanciones regulatorias, horas de soporte y recuperación, etc.
La pandemia de COVID-19 y la expansión del teletrabajo dispararon también las oportunidades para los atacantes. Muchas organizaciones tuvieron que abrir servicios hacia el exterior con prisas, sin la misma seguridad que en la oficina, mientras los usuarios se conectaban desde redes domésticas poco protegidas. Eso se tradujo en un aumento notable de intrusiones y campañas de extorsión.
En respuesta al endurecimiento de las defensas (mejores copias de seguridad, mayor concienciación), muchos grupos han pasado a combinar ransomware con tácticas adicionales como el robo masivo de información mediante infostealers, el secuestro de hilos de correo legítimos para distribuir malware, o el chantaje público a través de webs donde publican datos filtrados, y también al uso de inteligencia artificial en algunas fases de ataque y defensa.
Qué hacer si tu sistema se infecta con ransomware
Cuando un equipo o una red se ven comprometidos, es fundamental actuar con calma y seguir una estrategia clara. Muchas decisiones tomadas en caliente (como pagar el rescate o apagar equipos sin pensar) pueden empeorar la situación.
La primera recomendación de los expertos y de organismos como el FBI o el INCIBE es no pagar. Abonar el rescate no garantiza nada: los delincuentes pueden no enviar la clave, mandar una herramienta defectuosa o incluso exigir más dinero después. Además, pagar financia futuras campañas y puede convertirte en objetivo recurrente.
Si es una organización, resulta crítico aislar los equipos afectados desconectándolos de la red (cable y WiFi) para evitar que el malware se propague a otros sistemas o servidores compartidos. En muchos incidentes, el daño real se multiplica porque el ransomware consigue cifrar también las copias de seguridad conectadas.
Siempre que sea posible, conviene realizar una imagen forense de los discos antes de intentar nada, de modo que se pueda analizar más adelante el ataque y se preserven pruebas para una posible investigación policial. A partir de ahí, se procede a la desinfección, formateo de equipos y restauración desde copias de seguridad limpias.
En España, empresas y ciudadanos pueden recurrir al servicio de respuesta a incidentes del INCIBE (017), que ofrece soporte gratuito y confidencial. Existen además proyectos como No More Ransom, que recopilan herramientas de descifrado gratuitas para determinadas familias conocidas. Si tienes la mala suerte de no contar con copias de seguridad, merece la pena comprobar si tu variante está soportada.
Cómo protegerse de un ataque de ransomware
La mejor defensa frente al ransomware es combinar buenas prácticas técnicas con formación y sentido común. No existe la seguridad total, pero sí se puede reducir muchísimo el riesgo y, sobre todo, el impacto de un posible incidente.
En el plano técnico, resulta esencial . Muchas campañas explotan vulnerabilidades para las que ya existen correcciones desde hace tiempo. Activar las actualizaciones automáticas y revisar periódicamente el parque de software es básico.
También es recomendable contar con soluciones antimalware y antispam fiables, con protección en tiempo real y tecnologías específicas contra exploits y ransomware. Estas herramientas pueden detectar cargas maliciosas, bloquear adjuntos sospechosos o impedir la ejecución de código desde documentos ofimáticos.
La gestión de copias de seguridad es otro pilar crítico. Lo ideal es seguir una estrategia que combine backup local y en la nube, con copias de seguridad desconectadas del sistema (off-line) para que el ransomware no pueda cifrarlas. Probar regularmente la restauración es tan importante como hacer las copias.
En organizaciones, la política de mínimos privilegios ayuda a limitar el alcance de un ataque. Los usuarios deberían operar con cuentas sin permisos de administración, usar llaves de seguridad para autenticación y solo elevar privilegios cuando sea estrictamente necesario. De este modo, si un equipo se infecta, el malware tendrá menos capacidad para dañar otros recursos.
Además, es vital desplegar medidas de seguridad perimetral como cortafuegos bien configurados, segmentar la red para que un compromiso en una zona no implique toda la infraestructura y revisar de forma constante los servicios expuestos a Internet (por ejemplo, RDP o VPNs mal configuradas).
Ingeniería social y concienciación: el factor humano
Buena parte de las infecciones de ransomware empiezan por un simple clic. La formación y concienciación de usuarios y empleados es, por tanto, tan importante como las soluciones técnicas.
Es recomendable enseñar a desconfiar de correos inesperados, adjuntos no solicitados o enlaces “raros”, incluso si aparentemente vienen de contactos conocidos. Comprobar siempre la dirección real del remitente, pasar el ratón sobre los enlaces para ver a dónde apuntan y, ante la duda, contactar por otra vía con la persona o entidad que supuestamente envía el mensaje.
También conviene explicar las típicas tácticas de presión emocional o urgencia: amenazas de cierre de cuenta, ofertas increíbles con caducidad inmediata, multas por supuestas actividades ilegales, etc. Los ciberdelincuentes se aprovechan de la prisa y del miedo para que pensemos menos y hagamos clic más rápido.
En empresas, los simulacros de phishing y las campañas periódicas de formación ayudan a mantener el nivel de alerta. De nada sirve tener el mejor firewall si un usuario desactiva el antivirus porque se lo pide un “técnico de soporte” falso, o si introduce sus credenciales en una página clonada.
Finalmente, es importante que los usuarios sepan cómo actuar ante una sospecha: a quién avisar, qué no hacer (no reiniciar sin más, no borrar evidencias, no desconectar discos de forma brusca) y qué información recopilar. Un aviso temprano puede marcar la diferencia entre cifrar un solo equipo o toda la organización.
El ransomware ha pasado de ser una amenaza puntual a convertirse en un negocio criminal extremadamente rentable y profesionalizado, apoyado en la criptografía, las criptomonedas y la ingeniería social. Entender sus orígenes, sus tipos, la forma en que se propaga y las tácticas de extorsión actuales permite tomar decisiones más acertadas a la hora de proteger sistemas y datos, reforzar la seguridad técnica, formar a las personas y preparar planes de respuesta que reduzcan al mínimo el daño cuando, inevitablemente, llegue el día en que alguien intente secuestrar nuestros equipos.
