El ransomware ya no se limita a bloquear archivos. En 2025, el 96 % de los ataques de ransomware implicaban la sustracción de datos además del cifrado, lo que convertía cada incidente en una posible filtración de datos. Este cambio —conocido como «ransomware de doble extorsión»— ha transformado radicalmente el panorama de amenazas para los equipos de seguridad. Las copias de seguridad por sí solas ya no garantizan la recuperación, y ahora están en juego sanciones normativas, daños a la reputación y la exposición permanente de datos confidenciales en sitios de filtraciones de la dark web. En 2025 se publicaron entre 7.458 y 7.960 víctimas en sitios web de filtración de ransomware, lo que supone un aumento interanual del 53 %. Esta guía desglosa cómo funciona la doble extorsión, quién está detrás de ella y qué pueden hacer los equipos de seguridad para detectar y detener estos ataques antes de que los datos salgan de la red.
El ransomware de doble extorsión es un modelo de ciberataque en el que los autores de la amenaza roban datos confidenciales antes de cifrar los sistemas de la víctima y, a continuación, amenazan con publicar la información robada en sitios de filtraciones de la dark web a menos que se pague un rescate. A diferencia del ransomware tradicional, que se basa únicamente en el cifrado, este enfoque crea dos puntos de presión simultáneos: la imposibilidad de acceder a los sistemas cifrados y el riesgo de que los datos se hagan públicos.
El grupo de ransomware Maze fue pionero en esta táctica a finales de 2019, cuando publicó los datos robados de una víctima después de que la organización se negara a pagar. En cuestión de meses, casi todas las principales operaciones de ransomware adoptaron este enfoque. En el tercer trimestre de 2025, BlackFog informó de que el 96 % de los ataques de ransomware incluían la filtración de datos, lo que convirtió la doble extorsión en el modelo de ataque predominante, en lugar de ser una excepción.
Esto es importante porque las copias de seguridad —consideradas durante mucho tiempo la principal defensa contra el ransomware— solo abordan el componente del cifrado. Incluso las organizaciones que pueden restaurar completamente sus sistemas a partir de copias de seguridad inmutables siguen enfrentándose a la amenaza de que sus datos confidenciales sean publicados, vendidos o utilizados en nuevos ataques. La doble extorsión no es lo mismo que la simple extorsión de datos; combina específicamente tanto el cifrado como el robo de datos como mecanismos de presión paralelos.
Comparación de modelos de extorsión mediante ransomware
La «triple extorsión» amplía aún más este modelo al añadir ataques distribuidos de denegación de servicio (DDoS) contra la víctima, ejercer presión sobre terceros —como clientes o socios— o amenazar con denunciar a la víctima ante las autoridades reguladoras. Algunos operadores de ransomware como servicio incluyen ahora capacidades DDoS como servicio complementario, lo que hace que el ransomware de extorsión múltiple sea cada vez más accesible.
El ciclo de vida de un ataque de doble extorsión sigue una secuencia predecible de etapas. Es fundamental comprender esta progresión, ya que cada etapa ofrece oportunidades de detección, especialmente durante la fase de exfiltración previa al cifrado.
T1566), la explotación de aplicaciones de acceso público o las credenciales adquiridas a intermediarios de acceso inicial (IAB). Cisco Talos documentó el IAB de ToyMaker, que vende acceso a la red directamente a operadores de ransomware como CACTUS.T1021) para desplazarse lateralmente por la red, ampliar sus privilegios e identificar repositorios de datos de gran valor.T1560.001) y transferirla a cloud (T1567.002). Estudio de Symantec/Broadcom se ha constatado que rclone aparece en el 57 % de los incidentes de exfiltración relacionados con el ransomware.T1486). Análisis de Splunk/Sophos sitúa la duración media de la estancia entre cuatro y cinco días antes del cifrado. Sin embargo, el Informe de respuesta a incidentes globales de Unit 42 de 2026 Se ha constatado que el cuartil más rápido de los atacantes logra ahora la exfiltración en tan solo 72 minutos.Los grupos actuales dedicados a la doble extorsión utilizan un conjunto específico de herramientas para la sustracción de datos. Saber qué buscar es el primer paso para detectarlos.
Según los informes de Symantec/Broadcom y la revista Infosecurity Magazine, entre las herramientas de exfiltración más comunes se encuentran rclone (57 % de los incidentes), MEGAsync, Cobalt Strike, FileZilla, WinSCP, curl y WinRAR/7-Zip para la compresión previa a la transferencia. El informe DFIR documentó un caso de LockBit en el que los atacantes utilizaron Cobalt Strike las comunicaciones de comando y control y rclone para la exfiltración masiva de datos.
Entre los indicadores de detección de estas herramientas se incluyen volúmenes inusuales de datos salientes hacia proveedores cloud , conexiones a puntos finales conocidos de rclone o MEGAsync, anomalías en el DNS que indican el uso de túneles de datos, y análisis de comportamiento que señalan patrones de acceso masivo a archivos o de preparación de datos.
Los sitios de filtración de ransomware —también conocidos como sitios de filtración de datos (DLS) o sitios de denuncia— funcionan como plataformas de la dark web en las que diversos grupos publican datos sustraídos a víctimas que no han pagado el rescate. Desde el punto de vista de los responsables de la seguridad, comprender cómo funcionan estos sitios es fundamental para planificar la respuesta ante incidentes.
La escalada típica sigue un patrón. En primer lugar, el autor de la amenaza publica el nombre de la víctima y una descripción de los datos robados, a menudo acompañada de un reloj con cuenta atrás. Una pequeña muestra (normalmente entre el 1 % y el 5 % de los datos robados) sirve como prueba. Si la víctima entra en negociaciones, es posible que se amplíe el plazo. Si el plazo vence sin que se haya realizado el pago, los datos se publican de forma gradual o en su totalidad.
Los equipos de seguridad deben tener en cuenta que la aparición de datos en un sitio web dedicado a filtraciones confirma que se ha producido una filtración, lo que activa la obligación de notificar la violación de datos según la mayoría de los marcos normativos. La supervisión de estos sitios web mediante fuentes de inteligencia sobre amenazas proporciona una alerta temprana, pero el objetivo es detectar y detener la filtración antes de que los datos lleguen a dichas plataformas.
Los grupos dedicados a la doble extorsión abarcan desde operaciones de amenazas persistentes avanzadas con amplios recursos hasta redes de afiliados con una estructura poco definida. Pagar el rescate no garantiza la seguridad de los datos, como demuestran varios casos de gran repercusión mediática.
Principales grupos de ransomware de doble extorsión activos en 2025-2026
El caso de Change Healthcare / BlackCat ALPHV es el más revelador. Tras pagar 22 millones de dólares en concepto de rescate, los operadores de BlackCat llevaron a cabo una estafa de salida, quedándose con el pago sin cumplir con la promesa de borrar los datos. Posteriormente, otro grupo afiliado —RansomHub— intentó llevar a cabo una extorsión secundaria utilizando los mismos datos robados. Los datos de aproximadamente 100 millones de personas se vieron comprometidos.
Qilin se reveló como el grupo más activo en 2025, con hasta 1.034 víctimas atribuidas. Su ataque contra Synnovis, proveedor de análisis de sangre del NHS, en junio de 2024 paralizó el 90 % de los servicios de análisis de sangre y provocó la cancelación de más de 1.100 intervenciones quirúrgicas. La filtración de datos de Covenant Health en mayo de 2025 supuso la sustracción de 852 GB de información y afectó a 478.188 pacientes.
Clop fue pionera en zero-day masivo zero-day para llevar a cabo extorsiones basadas únicamente en datos. Su campaña contra MOVEit Transfer en 2023 afectó a unas 2.000 organizaciones y a 17 millones de personas, sin que se utilizara en ningún momento el cifrado.
El modelo de «ransomware como servicio» sigue reduciendo las barreras de entrada. DragonForce ofrece ahora un modelo de franquicia de marca blanca con un reparto de ingresos del 80/20, mientras que Medusa a sus afiliados hasta un millón de dólares a cambio del acceso inicial a objetivos de gran valor.
Las estadísticas sobre el ransomware de doble extorsión para el periodo 2024-2026 revelan una paradoja: el número de víctimas está aumentando, mientras que los pagos de rescates están disminuyendo, lo que indica que cada vez más organizaciones se niegan a pagar, pero los ataques siguen produciéndose.
El ransomware de doble extorsión en cifras (2024-2026)
Chainalysis informó de que el total de pagos por ransomware se redujo un 35 %, pasando de 1250 millones de dólares en 2023 a 813,55 millones en 2024, mientras que el pago medio descendió un 50 %, hasta situarse en 1 millón de dólares en 2025 (Sophos). Sin embargo, el volumen de ataques sigue aumentando. Entre 45 y 84 nuevos grupos de ransomware y extorsión surgieron en 2025, lo que elevó el total de operaciones activas a hasta 134 actores maliciosos distintos.
El sector sanitario sigue siendo el más afectado por el ransomware de doble extorsión, con más de 700 incidentes entre 2024 y 2025 que han dejado al descubierto más de 275 millones de historiales de pacientes. Estados Unidos concentra aproximadamente el 48 % de las víctimas a nivel mundial (Check Point, enero de 2026).
Los seguros cibernéticos se están adaptando rápidamente a la amenaza de la doble extorsión. Dado que la doble extorsión implica, por naturaleza, una filtración confirmada de datos, activa tanto la cobertura del pago del rescate como la cobertura de respuesta ante la filtración de datos —dos ámbitos en los que las aseguradoras están aplicando cada vez más sublímites en lugar de la cobertura total de la póliza.
Actualmente, las aseguradoras suelen exigir controles de seguridad específicos antes de conceder la cobertura, entre los que se incluyen soluciones EDR o XDR en todos los dispositivos finales, copias de seguridad inmutables y autenticación multifactorial (MFA) en todas las cuentas con privilegios. Aproximadamente el 76 % de las pérdidas de las aseguradoras provienen del ransomware, y el 70 % de los corredores prevé un aumento de las primas en 2026. Se prevé que el mercado mundial de los seguros cibernéticos alcance los 22 500 millones de dólares en 2026. Las organizaciones deben revisar sus pólizas para comprender si los sublímites por ransomware se aplican por separado de los límites por interrupción del negocio y por respuesta ante violaciones de datos.
Para detectar la doble extorsión es necesario dejar de centrarse en los indicadores de cifrado —que llegan demasiado tarde— y prestar atención a las anomalías de exfiltración a nivel de red que surgen durante la fase previa al cifrado. El tiempo medio de permanencia de cuatro a cinco días antes del cifrado ofrece un margen de detección crucial, pero el cuartil más rápido de los atacantes ahora exfiltra los datos en 72 minutos. Las organizaciones necesitan capacidades de detección y respuesta en menos de una hora.
El informe «Picus Red Report 2026» reveló que las tasas de prevención de la filtración de datos se desplomaron del 9 % a apenas el 3 %, lo que pone de manifiesto una brecha crítica en las defensas de la mayoría de las organizaciones.
Entre las estrategias clave de detección se incluyen:
Organice sus controles de prevención y detección de la doble extorsión según las funciones del Marco de Ciberseguridad del NIST:
Herramientas habituales de exfiltración y sus firmas de detección
La doble extorsión siempre constituye una violación de datos confirmada, ya que la sustracción de datos es inherente a esta táctica. Esto activa plazos de notificación obligatorios que el ransomware basado únicamente en el cifrado podría no activar. Los equipos de seguridad deben planificar el cumplimiento de las obligaciones normativas desde el momento en que se identifica un ataque de doble extorsión.
Requisitos de notificación reglamentaria derivados de una filtración de datos con doble extorsión
En Marco MITRE ATT&CK se corresponde directamente con las técnicas de doble extorsión: T1566 (Phishing), T1021 (Servicios remotos), T1560.001 (Archivo a través de Utility), T1567.002 (Transferencia a un servicio de Cloud ), T1486 (Datos cifrados para mayor seguridad), y T1657 (Delito financiero). Armonización respuesta ante incidentes La asignación de guías de procedimientos a estos identificadores de técnica garantiza la cobertura en cada etapa.
La FTC publicó su segundo informe al Congreso sobre el ransomware en febrero de 2026, lo que pone de manifiesto una mayor atención por parte de las autoridades reguladoras federales. Las organizaciones deben partir de la base de que cualquier incidente de ransomware conlleva una filtración de datos e incluir procedimientos de notificación de violaciones —y no solo la recuperación del sistema— en sus planes de respuesta ante incidentes.
El panorama del ransomware está experimentando un cambio fundamental. Cada vez más, los grupos de ciberdelincuentes prescinden por completo del cifrado y se basan únicamente en el robo de datos para ejercer presión, una tendencia conocida como «extorsión solo por datos» o «extorsión sin cifrado».
Las cifras son contundentes. El Informe Picus Red 2026 se descubrió que T1486 (Datos cifrados por Impact) El uso se redujo un 38 % con respecto al año anterior. Informe sobre amenazas de Arctic Wolf para 2026 se ha registrado un aumento de 11 veces en los casos de extorsión por datos, que han pasado del 2 % al 22 % del total de casos de respuesta a incidentes. Unidad 42 confirmó un descenso del 15 % en los casos de extorsión mediante cifrado, junto con un aumento de la velocidad de las fugas de datos.
Las campañas «MOVEit Transfer» y «Cleo» de Clop demostraron la eficacia de este modelo a gran escala. Al aprovechar zero-day en el software de transferencia de archivos, Clop robó datos de aproximadamente 2000 organizaciones sin necesidad de utilizar ningún tipo de cifrado. El resultado fue siempre el mismo: pagad o publicaremos vuestros datos.
Esta evolución tiene implicaciones directas para la estrategia defensiva. Las defensas centradas en las copias de seguridad pierden relevancia cuando el cifrado no forma parte del ataque. El análisis del tráfico de red y la detección de la filtración de datos se convierten en la primera línea de defensa. La «triple extorsión» —que incluye ataques DDoS, presiones de terceros o amenazas relacionadas con la presentación de informes reglamentarios— aumenta aún más la complejidad de las respuestas ante el ransomware de extorsión múltiple.
El sector de la seguridad está adoptando un enfoque centrado en la detección para defenderse de la doble extorsión. Las soluciones actuales abarcan la detección y respuesta de red (NDR), la detección y respuesta ampliadas (XDR), la detección y respuesta ante amenazas de identidad, el análisis de comportamiento, la prevención de pérdida de datos y la correlación SIEM.
Las organizaciones que evalúan soluciones deben dar prioridad a la visibilidad de la red en tiempo real en entornos híbridos, la detección automatizada de fugas de datos, la correlación de amenazas basada en identidades y los acuerdos de nivel de servicio (SLA) de detección en menos de una hora. Los servicios de detección y respuesta gestionados (MDR) pueden complementar las operaciones del centro de operaciones de seguridad (SOC) interno en aquellas organizaciones que carecen de cobertura las 24 horas del día, los 7 días de la semana. La detección basada en inteligencia artificial de patrones de fuga de datos y la convergencia de la detección y respuesta de red (NDR) con el análisis de identidades representan las tendencias emergentes más prometedoras. Los enfoques basados en señales que reducen el ruido de las alertas permiten a los equipos de seguridad centrarse en los comportamientos que importan —movimiento lateral, preparación de datos y exfiltración— en lugar de ahogarse en alertas de baja fiabilidad.
La doble extorsión refuerza la filosofía de «asumir que el sistema está comprometido», que constituye el núcleo del enfoque Vectra AI. Dado que los atacantes acabarán entrando, la cuestión fundamental es la rapidez con la que los equipos de seguridad pueden localizarlos, especialmente durante las fases de movimiento lateral y preparación de datos que preceden tanto a la exfiltración como al cifrado. Attack Signal Intelligence Vectra AI Attack Signal Intelligence en identificar los comportamientos de los atacantes en toda la red moderna —entornos locales, cloud, de identidad y SaaS— en lugar de basarse únicamente en la prevención. Validaciones independientes demuestran que este enfoque reduce el tiempo medio de detección de amenazas en más de un 50 % (IDC) y reduce el ruido de las alertas hasta en un 99 % (Globe Telecom), lo que permite a los equipos de seguridad actuar dentro de la ventana de detección crítica antes de que se pierdan los datos.
El ransomware de doble extorsión se ha convertido en el modelo dominante de ciberataque, lo que transforma cada incidente de ransomware en una posible filtración de datos con consecuencias normativas, económicas y para la reputación. La tasa de exfiltración de datos del 96 %, la reducción de los plazos de detección y la tendencia hacia la extorsión sin cifrado apuntan todos a la misma conclusión: las organizaciones no pueden confiar únicamente en la prevención y las copias de seguridad.
La defensa más eficaz combina la visibilidad a nivel de red para detectar la sustracción de datos en curso, la detección basada en la identidad para identificar credenciales comprometidas y el análisis de comportamiento para señalar las acciones de los atacantes durante las fases de movimiento lateral y preparación de datos. Dado que los atacantes más rápidos ahora sustrayen datos en 72 minutos, las capacidades de detección y respuesta en menos de una hora ya no son opcionales.
Los equipos de seguridad que adaptan sus estrategias de detección al ciclo de vida de la doble extorsión —centrándose en el crucial periodo previo al cifrado— se aseguran las mejores posibilidades de detener estos ataques antes de que se pierdan los datos y la ventaja pase a manos del atacante.
Descubre cómo Vectra AI y detiene las amenazas de ransomware en tu entorno híbrido.
La doble extorsión es una táctica de ransomware en la que los atacantes roban datos confidenciales antes de cifrar los sistemas, lo que genera dos fuentes de presión simultáneas sobre la víctima. La organización se enfrenta a la pérdida permanente de datos debido al cifrado y a la divulgación pública de la información robada en sitios web de filtraciones de la dark web. Las defensas tradicionales basadas únicamente en copias de seguridad abordan solo el componente del cifrado, dejando sin resolver la amenaza de exposición de los datos. Dado que el 96 % de los ataques de ransomware implican ahora la exfiltración de datos (BlackFog, tercer trimestre de 2025), la doble extorsión se ha convertido en el modelo dominante de ransomware. Los equipos de seguridad deben asumir que todo incidente de ransomware incluye el robo de datos y planificar su respuesta a los incidentes en consecuencia, incluyendo procedimientos de notificación de violaciones junto con la recuperación del sistema.
El ataque sigue un ciclo de vida de seis etapas. En primer lugar, los atacantes obtienen acceso inicial mediante phishing, el aprovechamiento de vulnerabilidades o credenciales adquiridas a intermediarios de acceso inicial. A continuación, se desplazan lateralmente por la red para identificar y acceder a datos de gran valor. La siguiente fase consiste en preparar los datos —a menudo comprimiéndolos con herramientas como WinRAR o 7-Zip— antes de exfiltrarlos a una infraestructura controlada por los atacantes utilizando herramientas como rclone, que aparece en el 57 % de los incidentes (Symantec/Broadcom). Tras la exfiltración, se aplica el cifrado. A continuación, los atacantes emiten una demanda de rescate aprovechando tanto los sistemas cifrados como la amenaza de publicación de los datos. Si la víctima no paga, los datos se publican en un sitio web dedicado a filtraciones en la dark web.
La extorsión simple se basa únicamente en el cifrado de los sistemas y exige el pago de una clave de descifrado. Si la víctima cuenta con copias de seguridad fiables, puede recuperarse sin necesidad de pagar. La doble extorsión añade un componente de robo de datos, lo que significa que el atacante retiene una copia de los datos confidenciales y amenaza con publicarlos independientemente de si la víctima puede restaurar los sistemas cifrados. Esto cambia radicalmente el cálculo del riesgo: incluso las organizaciones con excelentes capacidades de copia de seguridad y recuperación se enfrentan a consecuencias normativas, legales y de reputación derivadas de la exposición de los datos. La triple extorsión va un paso más allá al añadir ataques DDoS, presionar a terceros o amenazar con denunciar a la víctima ante las autoridades reguladoras.
Las copias de seguridad protegen contra el componente de cifrado, pero no contra la exposición de los datos. Dado que la inmensa mayoría de los ataques de ransomware incluyen ahora la exfiltración de datos, la restauración a partir de copias de seguridad resuelve el problema de la disponibilidad del sistema, pero no impide que los datos robados se publiquen, se vendan o se utilicen para una extorsión secundaria. Las organizaciones necesitan una defensa por capas que combine copias de seguridad inmutables para la recuperación con la detección de exfiltraciones a nivel de red, a fin de detectar el robo de datos mientras se produce. La detección y respuesta en red, el análisis de comportamiento y la detección de amenazas de identidad proporcionan la visibilidad necesaria para identificar a los atacantes durante las fases de movimiento lateral y preparación de datos que preceden a la exfiltración.
Los datos robados suelen publicarse en el sitio web de filtraciones del actor malicioso una vez vencido el plazo, a menudo por etapas para aumentar la presión. Sin embargo, el pago tampoco garantiza la seguridad. El incidente de Change Healthcare lo demostró claramente: tras un pago de 22 millones de dólares, los operadores de BlackCat/ALPHV llevaron a cabo una estafa de salida, y un grupo afiliado independiente (RansomHub) intentó una extorsión secundaria utilizando los mismos datos. Los datos de Chainalysis muestran que los pagos de ransomware disminuyeron un 35 % en 2024, lo que indica que más organizaciones se niegan a pagar y, en su lugar, se centran en la detección, la contención y la recuperación.
Se considera que el grupo de ransomware Maze fue pionero en la doble extorsión a finales de 2019. Después de que una víctima se negara a pagar el rescate, Maze publicó los datos robados de la organización, estableciendo así el modelo que ahora sigue la gran mayoría de los grupos de ransomware. Antes de Maze, los operadores de ransomware se basaban exclusivamente en el cifrado. El éxito del enfoque de Maze llevó a una rápida adopción en todo el panorama de amenazas, y grupos como REvil, DoppelPaymer y Conti crearon rápidamente su propia infraestructura de sitios de filtración. Para 2025, la doble extorsión se había convertido en el modelo operativo por defecto del ransomware.
El sector sanitario es el más atacado, con más de 700 incidentes de seguridad entre 2024 y 2025 que han dejado al descubierto más de 275 millones de historiales de pacientes. La combinación de datos confidenciales de pacientes, obligaciones normativas (HIPAA) y la urgencia operativa hace que las organizaciones sanitarias sean especialmente vulnerables a las presiones extorsionadoras. Otros objetivos principales son la industria manufacturera, las infraestructuras críticas (lo que ha motivado un aviso conjunto de la CISA y el FBI sobre Medusa), los servicios financieros, las telecomunicaciones, la educación y la administración pública. Estados Unidos representa aproximadamente el 48 % de las víctimas a nivel mundial (Check Point, enero de 2026), mientras que Europa Occidental (Reino Unido, Alemania, Italia y España) y la región de Asia-Pacífico se perfilan como zonas objetivo en auge.