El panorama del ransomware en 2025 ha alcanzado una escala y sofisticación sin precedentes. Con 85 grupos de ransomware activos operando simultáneamente y daños estimados en 57 000 millones de dólares a nivel mundial, las organizaciones se enfrentan a un entorno de amenazas que exige tanto profundidad técnica como claridad estratégica. Esta guía proporciona a los profesionales de la seguridad información actualizada sobre cómo funciona el ransomware, qué actores de amenazas suponen el mayor riesgo y qué medidas defensivas reducen realmente la exposición.
Ya sea que esté desarrollando capacidades de detección, perfeccionando los procedimientos de respuesta a incidentes o informando a los líderes sobre los riesgos de la organización, la información aquí presentada refleja las últimas investigaciones sobre amenazas y las mejores prácticas defensivas de fuentes autorizadas, como el FBI, la CISA y MITRE ATT&CK.
El ransomware es un tipo de software malicioso que cifra los archivos del dispositivo o la red de la víctima y exige el pago de un rescate, normalmente en criptomoneda, para restablecer el acceso. Según la FBI, el ransomware impide el acceso a los archivos, sistemas o redes informáticas hasta que se realiza el pago.
La CISA caracteriza el ransomware como «una forma de malware en constante evolución malware diseñado para cifrar archivos en un dispositivo, inutilizando cualquier archivo y los sistemas que dependen de ellos». Esta definición refleja la realidad operativa a la que se enfrentan los equipos de seguridad: el ransomware no solo bloquea los datos, sino que interrumpe los procesos empresariales que dependen de ellos.
El impacto financiero del ransomware en 2025 es asombroso. Según Cybersecurity Ventures, los daños causados por el ransomware a nivel mundial alcanzaron los 57 000 millones de dólares este año, lo que supone aproximadamente 156 millones de dólares al día. Estos costes van mucho más allá del pago de rescates e incluyen la interrupción de la actividad empresarial, los gastos de recuperación, el daño a la reputación y las sanciones reglamentarias.
Lo que hace que el ransomware sea especialmente preocupante es su evolución desde una simple molestia hasta convertirse en una sofisticada actividad delictiva. Los operadores de ransomware modernos realizan reconocimientos, establecen su persistencia y extraen datos confidenciales antes incluso de implementar el cifrado. Esto convierte cada incidente de ransomware en una posible violación de datos con consecuencias a largo plazo para las organizaciones afectadas.
El ransomware pertenece a la categoría más amplia de malware software malicioso diseñado para dañar los sistemas informáticos o a sus usuarios. Sin embargo, el ransomware posee características únicas que lo distinguen de otros malware .
A diferencia de los virus que se propagan y corrompen archivos, los troyanos que proporcionan acceso trasero o el spyware que extrae información de forma silenciosa, el ransomware se anuncia a sí mismo. El ciberataque se hace visible para las víctimas a través de notas de rescate en las que se exige un pago. Esta visibilidad sirve a la motivación financiera de los atacantes: las víctimas no pueden pagar por algo que no saben que ha ocurrido.
La motivación económica también impulsa la rápida evolución del ransomware. Los atacantes perfeccionan continuamente sus técnicas para maximizar las tasas de pago y minimizar la detección, lo que crea una carrera armamentística entre la innovación ofensiva y la capacidad defensiva.
Los ataques de ransomware modernos siguen una secuencia predecible que los defensores pueden interrumpir en múltiples etapas. Comprender esta cadena de ataques permite a los equipos de seguridad implementar defensas por capas y detectar intrusiones antes de que se produzca el cifrado.
El ataque típico de ransomware avanza a través de cinco etapas:
Cada etapa ofrece oportunidades de detección e interrupción. Las organizaciones que se centran exclusivamente en impedir el acceso inicial pierden oportunidades de atrapar a los atacantes durante el periodo, a menudo prolongado, que transcurre entre el compromiso y el cifrado.
Los puntos de entrada que utilizan los operadores de ransomware han cambiado significativamente. Según HIPAA Journal, las credenciales VPN comprometidas representaron el 48 % de los ataques de ransomware en el tercer trimestre de 2025, frente al 38 % en el segundo trimestre. Esto supone un cambio fundamental con respecto a años anteriores, cuando phishing el acceso inicial.
El cambio hacia el acceso inicial basado en credenciales refleja tanto la amplia disponibilidad de credenciales robadas en los mercados criminales como la eficacia de los intermediarios de acceso inicial, especialistas que comprometen los sistemas y venden el acceso a los operadores de ransomware. Estos intermediarios suelen utilizar infostealers para recopilar credenciales a gran escala.
La explotación de servicios externos sigue siendo significativa, con campañas recientes dirigidas a vulnerabilidades en dispositivos VPN (CVE-2024-40766 en SonicWall), dispositivos Citrix NetScaler (CVE-2025-5777) y software empresarial como Oracle E-Business Suite (CVE-2025-61882).
Una vez dentro de una red, los operadores de ransomware actúan con rapidez. Según Vectra AI sobre el movimiento lateral, el movimiento lateral medio se produce en los 48 minutos siguientes al compromiso inicial. Los casos más rápidos observados muestran que los atacantes logran la propagación completa de la red en solo 18 minutos.
Esta velocidad crea una ventana estrecha para la detección y la respuesta. Los atacantes utilizan herramientas administrativas y credenciales legítimas para moverse lateralmente, lo que hace que su actividad sea difícil de distinguir de las operaciones normales de la red sin un análisis del comportamiento.
La exfiltración de datos se ha convertido en algo casi universal en los ataques de ransomware. Según Deepstrike, el 76 % de los ataques de ransomware de 2025 implicaron la exfiltración de datos antes del cifrado. Esto permite una doble extorsión: incluso si las víctimas restauran los datos desde copias de seguridad, los atacantes amenazan con publicar los datos robados.
Las herramientas más comunes observadas en la fase de exfiltración incluyen:
En MITRE ATT&CK El marco proporciona un vocabulario estandarizado para describir las técnicas de ransomware. La técnica principal del ransomware es T1486 - Datos cifrados para mayor impacto, clasificado bajo la táctica Impacto.
El marco ATT&CK documenta más de 70 familias de ransomware con sus técnicas asociadas. Los equipos de seguridad pueden utilizar este mapeo para validar la cobertura de detección e identificar las brechas en sus capacidades defensivas mediante la búsqueda proactiva de amenazas.
El ransomware ha evolucionado desde simples herramientas de cifrado hasta convertirse en amenazas sofisticadas y multifacéticas. Comprender las principales variantes ayuda a los defensores a anticipar los patrones de ataque y preparar las respuestas adecuadas.
La distinción fundamental entre los tipos de ransomware es entre el cripto-ransomware y el ransomware de bloqueo.
El cripto-ransomware (también llamado ransomware de cifrado) cifra archivos y datos individuales en los dispositivos infectados. Según Keeper Security, las víctimas pueden seguir utilizando sus dispositivos, pero no pueden acceder a los archivos cifrados sin la clave de descifrado. El cripto-ransomware moderno utiliza algoritmos de cifrado robustos, como AES-256, ChaCha20 y RSA-2048, que son computacionalmente imposibles de descifrar.
El ransomware de bloqueo (bloqueadores de pantalla) adopta un enfoque diferente: bloquea el acceso de los usuarios a todo su sistema en lugar de cifrar archivos individuales. Según Check Point, las variantes de bloqueo impiden cualquier acceso al dispositivo hasta que se realiza el pago. Aunque el ransomware de bloqueo era más común en los inicios del ransomware, hoy en día predomina el cripto-ransomware debido a su mayor impacto y a que la recuperación es más difícil.
El ransomware moderno ha evolucionado más allá del simple cifrado hasta convertirse en esquemas de extorsión de múltiples capas.
El ransomware de doble extorsión combina el cifrado de datos con el robo de datos. Los atacantes primero extraen información confidencial y luego cifran los sistemas. Si las víctimas restauran los datos desde copias de seguridad sin pagar, los atacantes amenazan con publicar o vender los datos robados. Según Arctic Wolf, el 96 % de los casos de respuesta a incidentes de ransomware en 2025 implicaron la extracción de datos, lo que convierte la doble extorsión en la norma y no en la excepción.
El ransomware de triple extorsión añade tácticas de presión adicionales más allá del cifrado y el robo de datos. Estas pueden incluir:
Esta evolución significa que los ataques de ransomware ahora causan múltiples daños que se superponen: interrupción operativa por el cifrado, requisitos de notificación de violación de datos por la filtración y daño a la reputación por las amenazas de divulgación pública.
La industrialización del ransomware lo ha transformado de un delito técnico en un modelo de negocio accesible. Según IBM, el ransomware como servicio (RaaS) es un modelo de negocio en el que los desarrolladores de ransomware venden o alquilan su malware afiliados que llevan a cabo los ataques reales.
Los operadores de RaaS proporcionan a los afiliados:
A cambio, los afiliados comparten los ingresos del rescate con los operadores de RaaS. Según Flashpoint, las participaciones típicas en los ingresos de los afiliados oscilan entre el 70 % y el 85 % de los pagos de rescate, y Qilin ofrece una participación líder en el sector del 85 % para atraer a afiliados.
Este modelo reduce drásticamente las barreras de entrada. Los delincuentes sin conocimientos técnicos avanzados pueden llevar a cabo ataques sofisticados utilizando herramientas de nivel profesional, lo que amplía el panorama de amenazas y aumenta el volumen de ataques.
El ecosistema del ransomware en 2025 se caracteriza por la fragmentación, la sofisticación y un volumen de ataques sin precedentes. Los equipos de seguridad necesitan información actualizada sobre los actores maliciosos activos y sus tácticas para priorizar las defensas de manera eficaz.
Según Check Point Research, en el tercer trimestre de 2025 se registró un récord de 85 grupos de ransomware activos operando simultáneamente, la cifra más alta jamás observada. Esta fragmentación es consecuencia de las intervenciones policiales contra los principales grupos y refleja la facilidad con la que pueden surgir nuevos grupos utilizando la infraestructura RaaS.
El volumen de ataques aumentó considerablemente, con 4701 incidentes de ransomware registrados a nivel mundial entre enero y septiembre de 2025, lo que representa un aumento del 46 % con respecto al mismo período de 2024.
Qilin se convirtió en el grupo de ransomware dominante en 2025, procesando más de 75 víctimas al mes en el tercer trimestre. La participación del 85 % en los ingresos de los afiliados del grupo, superior a la de sus competidores, ha atraído a afiliados cualificados procedentes de operaciones disueltas. Cabe destacar que los actores de amenazas norcoreanos desplegaron cargas útiles de Qilin en marzo de 2025, lo que indica la colaboración de un Estado-nación con operaciones criminales de ransomware.
Según los avisos de la CISA, Akira acumuló 244,17 millones de dólares en ingresos a finales de septiembre de 2025. El grupo tiene como objetivo las pymes y las infraestructuras críticas de los sectores de la fabricación, la educación, las tecnologías de la información, la sanidad y los servicios financieros.
LockBit reapareció con la versión 5.0 en septiembre de 2025, a pesar de la importante presión ejercida por las fuerzas del orden, incluida la Operación Cronos. Aunque ha perdido fuerza con respecto a su momento álgido, la persistencia del grupo demuestra la resistencia de las operaciones RaaS bien establecidas.
Change Healthcare (2024-2025): El ataque de ALPHV/BlackCat a Change Healthcare representa la mayor filtración de datos sanitarios en la historia de Estados Unidos. Según la AHA, aproximadamente 192,7 millones de personas se vieron afectadas, con un coste total estimado en 3000 millones de dólares. La causa principal fue el compromiso de las credenciales de un servidor Citrix sin autenticación multifactorial, un fallo básico de control de seguridad con consecuencias catastróficas.
Campaña «Korean Leaks» de Qilin (septiembre de 2025): Según The Hacker News, Qilin comprometió a un único proveedor de servicios gestionados (GJTec) y utilizó ese acceso para atacar a 28 organizaciones subordinadas, incluidas 24 del sector financiero de Corea del Sur. Se filtraron más de un millón de archivos y 2 TB de datos. Este ataque a la cadena de suministro demuestra cómo los compromisos de los MSP pueden amplificar exponencialmente el impacto del ransomware.
Campaña Clop Oracle EBS (noviembre de 2025): Según Z2Data, el grupo de ransomware Clop explotó CVE-2025-61882 (CVSS 9.8) en Oracle E-Business Suite para comprometer a más de 100 empresas, entre ellas Broadcom, Estee Lauder, Mazda, Canon, Allianz UK y The Washington Post. La campaña demostró el patrón continuo de explotación masiva de Clop tras ataques similares a MOVEit en 2023.
Los objetivos del ransomware varían significativamente según el sector. Según Industrial Cyber, los sectores de infraestructura crítica representaron la mitad de todos los ataques de ransomware en 2025.
Las pymes se enfrentan a un impacto desproporcionado. Según el análisis DBIR de Verizon, el 88 % de las violaciones de datos en las pymes están relacionadas con el ransomware (frente al 39 % en las grandes organizaciones), y el 60 % de las pequeñas empresas atacadas cierran en un plazo de seis meses. La falta de recursos de seguridad dedicados y de capacidades de respuesta a incidentes hace que las organizaciones más pequeñas sean especialmente vulnerables.
Una defensa eficaz contra el ransomware requiere controles por capas que abarquen la prevención, la detección y la respuesta. Si bien la prevención sigue siendo el enfoque más rentable, las organizaciones también deben prepararse para detectar los ataques en curso y responder de manera eficaz cuando las defensas fallan.
La guía #StopRansomware de la CISA ofrece orientación autorizada sobre prevención que los equipos de seguridad deben implementar como controles básicos:
Acciones prioritarias (aplicar inmediatamente):
Controles técnicos adicionales:
Dado que el 48 % de los ataques de 2025 utilizaron credenciales VPN comprometidas, las organizaciones deben auditar las configuraciones VPN, implementar la autenticación multifactorial (MFA) en todos los accesos remotos y considerar alternativas de acceso a la red de confianza cero.
La moderna regla de copia de seguridad 3-2-1-1-0, tal y como la detalla Veeam, proporciona una protección de datos resistente al ransomware:
El almacenamiento inmutable convierte las copias de seguridad a un formato de escritura única y lectura múltiple (WORM) que no se puede sobrescribir, modificar ni eliminar, ni siquiera por parte de administradores con credenciales completas. Esto protege contra el ransomware que ataca específicamente a los sistemas de copia de seguridad.
Es fundamental realizar pruebas periódicas de las copias de seguridad. Las organizaciones deben verificar los procedimientos de restauración al menos una vez al trimestre y documentar objetivos realistas de tiempo de recuperación basados en los resultados reales de las pruebas.
Existen oportunidades de detección a lo largo de toda la cadena de ataque del ransomware. Las soluciones de detección y respuesta en red proporcionan visibilidad sobre los comportamientos de los atacantes que las herramientas de punto final pueden pasar por alto.
malware precursor malware vigilar:
Indicadores de red de actividad de ransomware:
Las líneas de base de comportamiento permiten detectar anomalías. Cuando los usuarios o los sistemas se desvían de los patrones establecidos (acceso a recursos inusuales, autenticación en momentos inusuales o transferencia de volúmenes de datos inusuales), estas desviaciones justifican una investigación.
Si su organización se ve afectada por un ransomware, la CISA ofrece orientación para una respuesta inmediata:
Activar tu plan de respuesta ante incidentes desde el principio mejora los resultados. Las organizaciones con procedimientos de respuesta probados se recuperan más rápido y minimizan los daños.
Los tiempos de recuperación han mejorado significativamente. Según Sophos, el 56 % de las organizaciones se recuperaron en una semana en 2025, en comparación con el 33 % en 2024. Esta mejora refleja mejores prácticas de copia de seguridad y capacidades de respuesta a incidentes más maduras en todo el sector.
El FBI y la CISA recomiendan no pagar rescates. Los datos respaldan esta postura:
El comportamiento de las víctimas refleja esta orientación. Según Sophos, el 63 % de las víctimas de ransomware se negaron a pagar en 2025, frente al 59 % en 2024. Mientras tanto, el 97 % de las organizaciones recuperaron con éxito sus datos mediante copias de seguridad u otros medios, lo que demuestra que el pago no es necesario para la recuperación.
Si está considerando realizar un pago, antes de tomar cualquier decisión debe consultar con un asesor jurídico y las fuerzas del orden. Algunos pagos pueden infringir las normas sobre sanciones, y las autoridades pueden disponer de información sobre el agente específico que representa una amenaza y que influye en la decisión.
Los marcos normativos exigen cada vez más controles específicos para el ransomware y requisitos de notificación. Los equipos de seguridad deben comprender las obligaciones de cumplimiento y adaptar los controles existentes a los requisitos del marco normativo.
NIST IR 8374 - Perfil de gestión de riesgos de ransomware: esta publicación del NIST aplica las cinco funciones básicas del Marco de Ciberseguridad (identificar, proteger, detectar, responder y recuperar) específicamente al riesgo de ransomware. Actualizada para CSF 2.0 en enero de 2025, proporciona una guía práctica alineada con la norma ISO/IEC 27001:2013 y NIST SP 800-53 Rev. 5.
MITRE ATT&CK : La versión 18 de ATT&CK (octubre de 2025) documenta más de 70 familias de ransomware y sus técnicas. Las organizaciones pueden utilizar ATT&CK para validar la cobertura de detección frente a comportamientos conocidos de ransomware e identificar deficiencias en sus capacidades.
Directiva NIS2 (UE): La Directiva NIS2 exige a las entidades esenciales e importantes de 18 sectores críticos que implementen controles específicos contra el ransomware. Entre los requisitos clave se incluyen la alerta temprana las 24 horas del día para incidentes significativos y sanciones de hasta 10 millones de euros o el 2 % de los ingresos globales porincumplimiento.
El ransomware afecta significativamente a los mercados de seguros cibernéticos. Según Resilience, la reclamación media por ransomware alcanzó los 1,18 millones de dólares en 2025, lo que supone un aumento del 17 % con respecto al año anterior. El ransomware representa el 76 % de las pérdidas incurridas, a pesar de representar el 56 % de las reclamaciones.
Los retos en materia de cobertura son cada vez mayores. Según la revista HIPAA Journal, aproximadamente el 40 % de las reclamaciones de seguros cibernéticos fueron denegadas en 2024, a menudo debido a exclusiones por «incumplimiento de las medidas de seguridad». Las aseguradoras examinan minuciosamente las prácticas de gestión de vulnerabilidades, la implementación de la autenticación multifactorial (MFA) y los procedimientos de copia de seguridad a la hora de evaluar las reclamaciones.
Una preocupación emergente: se ha observado que el grupo de ransomware Interlock roba pólizas de seguro cibernético a las víctimas para comparar las demandas de rescate con los límites de cobertura. Este enfoque basado en la inteligencia para fijar el precio del rescate hace que una cobertura adecuada sea una responsabilidad potencial sin las correspondientes mejoras de seguridad.
El panorama del ransomware exige una evolución continua en las estrategias defensivas. A medida que los atacantes desarrollan nuevas técnicas (asesinos de EDR, amenazas cloud como la explotación de AWS SSE-C de Codefinger y la colaboración entre estados-nación), los defensores deben adaptar sus capacidades de detección y respuesta en consecuencia.
La detección basada en la red se ha vuelto fundamental, ya que los atacantes evaden cada vez más los controles de los puntos finales. Las soluciones NDR proporcionan visibilidad sobre los movimientos laterales, la filtración de datos y las comunicaciones de comando y control que las herramientas de los puntos finales no pueden ver.
Las plataformas de detección y respuesta ampliadas (XDR) correlacionan señales entre fuentes de datos de terminales, redes, cloud e identidades. Esta visibilidad entre capas reduce los falsos positivos y acelera la investigación al conectar actividades relacionadas en todo el entorno.
La adopción Zero trust sigue creciendo a medida que las organizaciones reconocen que la seguridad basada en el perímetro no puede proteger contra los ataques basados en credenciales. Cuando el 48 % de los incidentes de ransomware comienzan con credenciales comprometidas, es esencial asumir que la red ya está comprometida y validar cada solicitud de acceso.
Vectra AI la defensa contra el ransomware mediante Attack Signal Intelligence centrándose en detectar los comportamientos de los atacantes a lo largo de toda la cadena de ataque, en lugar de basarse únicamente en firmas o indicadores conocidos. Mediante el análisis del tráfico de red, cloud y las señales de identidad, la plataforma identifica los patrones de movimiento lateral, escalada de privilegios y exfiltración de datos que preceden al despliegue del ransomware.
La filosofía «Asumir el compromiso» reconoce que los atacantes decididos acabarán por eludir los controles preventivos. La capacidad crítica consiste en encontrar a los atacantes durante el intervalo entre el acceso inicial y el cifrado, que a menudo es de tan solo 18 minutos, pero que suele ser suficiente para que la detección de amenazas basadas en el comportamiento identifique la actividad maliciosa.
Las capacidades de seguridad de la IA permiten detectar nuevos comportamientos de ransomware sin necesidad de conocer previamente variantes específicas. Cuando los atacantes desarrollan nuevas técnicas de evasión, el análisis de comportamiento sigue identificando los patrones de ataque subyacentes (uso indebido de credenciales, acceso inusual a datos, intentos de conexión lateral) que se mantienen constantes en todas las campañas.
El ransomware en 2025 representa una amenaza madura, sofisticada y muy fragmentada que ninguna organización puede permitirse ignorar. Con 85 grupos activos, 57 000 millones de dólares en daños a nivel mundial y ataques que combinan habitualmente el cifrado con el robo de datos, nunca ha habido tanto en juego.
Los datos demuestran que la prevención y la preparación funcionan. Las organizaciones que implementan la autenticación multifactorial (MFA), mantienen copias de seguridad inmutables y probadas, y segmentan sus redes se recuperan más rápidamente y evitan pagar rescates. Las que invierten en capacidades de detección, en particular en análisis de comportamiento basados en la red, detectan a los atacantes antes de que comience el cifrado.
El camino a seguir requiere una evolución continua. A medida que los operadores de ransomware desarrollan nuevas técnicas y explotan nuevas vulnerabilidades, los defensores deben adaptarse. Las pruebas periódicas de la cobertura de detección con respecto al MITRE ATT&CK , la formación continua en materia de seguridad y las pruebas trimestrales de restauración de copias de seguridad proporcionan la base para unas operaciones resilientes.
Para las organizaciones que buscan reforzar sus defensas contra el ransomware, el enfoque Vectra AI en materia de Attack Signal Intelligence detección en toda la cadena de ataque, identificando los comportamientos que preceden al despliegue del ransomware, independientemente de malware específicas malware o las técnicas de evasión.
El ransomware es un software malicioso que bloquea tus archivos cifrándolos y luego exige un pago, normalmente en criptomoneda, para desbloquearlos. Según el FBI, es una de las formas de ciberataque más perjudiciales desde el punto de vista económico, ya que en 2025 costará a las organizaciones una media de entre 5,5 y 6 millones de dólares por incidente. Los atacantes envían una nota de rescate con instrucciones de pago y una fecha límite. Si se paga, afirman que proporcionarán una clave de descifrado, aunque la recuperación no está garantizada. El ransomware moderno también roba los datos antes de cifrarlos y amenaza con publicar información confidencial si no se paga, incluso después de restaurarlos desde las copias de seguridad.
El ransomware suele entrar a través de varias vías comunes. En el tercer trimestre de 2025, las credenciales VPN comprometidas representaron el 48 % de los ataques de ransomware, según HIPAA Journal. Phishing Los correos electrónicos con archivos adjuntos o enlaces maliciosos siguen siendo un vector principal. La explotación de vulnerabilidades sin parchear en sistemas conectados a Internet, en particular dispositivos VPN, dispositivos Citrix y software empresarial, proporciona otro punto de entrada. Los ataques a la cadena de suministro a través de proveedores de servicios gestionados o proveedores de software pueden comprometer a varias organizaciones simultáneamente. Una vez que los atacantes obtienen el acceso inicial, suelen pasar días o semanas moviéndose por la red y robando datos antes de implementar el cifrado.
El FBI y la CISA recomiendan no pagar rescates. Las estadísticas respaldan esta recomendación: solo el 46 % de las organizaciones que pagan recuperan sus datos, mientras que el 80 % de los que pagan sufren ataques posteriores. En 2025, el 63 % de las víctimas de ransomware se negaron a pagar, y el 97 % de las organizaciones recuperaron sus datos mediante copias de seguridad u otros medios. El pago de rescates financia a las empresas criminales e incentiva futuros ataques. Si está considerando pagar, consulte primero con un asesor legal y póngase en contacto con las fuerzas del orden. Algunos pagos pueden infringir las normas sobre sanciones, y las autoridades pueden disponer de información que influya en su decisión.
Aísle inmediatamente los sistemas afectados desconectándolos de la red para evitar que el ataque se propague. No reinicie ni reinicie los sistemas, ya que esto podría provocar daños adicionales o destruir pruebas forenses. Proteja y desconecte los sistemas de respaldo para protegerlos del cifrado. Documente todo tomando capturas de pantalla de las notas de rescate y conservando el estado del sistema. Evalúe el alcance del ataque para comprender qué sistemas se han visto afectados. Póngase en contacto con el FBI, la CISA o las fuerzas del orden locales. Antes de considerar el pago, consulte el proyecto No More Ransom para obtener herramientas de descifrado gratuitas: disponen de descifradores para más de 100 familias de ransomware.
Las protecciones clave comienzan con la habilitación de la autenticación multifactorial (MFA) phishing en todos los servicios externos y puntos de acceso remoto. Mantenga copias de seguridad offline e inmutables siguiendo la regla 3-2-1-1-0 detallada por Veeam. Corrija rápidamente las vulnerabilidades explotadas conocidas, dando prioridad a las entradas del catálogo de vulnerabilidades explotadas conocidas de la CISA. Implemente la segmentación de la red para limitar el movimiento lateral. Implemente soluciones EDR, NDR o XDR con capacidades de detección en tiempo real. Separe las cuentas administrativas de las cuentas de uso diario y exija contraseñas de al menos 15 caracteres. Considere el acceso zero trust como alternativa a la VPN tradicional, dado que las credenciales de VPN comprometidas representan el 48 % de los ataques.
El ransomware de doble extorsión combina el cifrado tradicional de archivos con el robo de datos. Los atacantes primero extraen datos confidenciales de su red, luego cifran los sistemas y exigen un pago. Si las víctimas restauran desde copias de seguridad sin pagar, los atacantes amenazan con publicar o vender los datos robados en sitios web de filtración. Según Arctic Wolf, el 96 % de los casos de respuesta a incidentes de ransomware en 2025 implicaron la filtración de datos, lo que convirtió la doble extorsión en el modelo operativo estándar. Esta evolución significa que incluso las organizaciones con excelentes prácticas de copia de seguridad se enfrentan a una presión significativa para pagar, ya que la exposición de los datos puede provocar sanciones normativas, daños a la reputación y perjuicios competitivos.
El ransomware moderno es principalmente obra de grupos organizados de ciberdelincuentes que operan plataformas de ransomware como servicio (RaaS). Según Check Point Research, en el tercer trimestre de 2025 había 85 grupos distintos de ransomware activos. Entre los grupos más activos se encuentran Qilin (más de 75 víctimas al mes, 85 % de participación en los ingresos de los afiliados), Akira (244 millones de dólares en ingresos), Medusa más de 300 víctimas en infraestructuras críticas) y DragonForce (en auge debido a los bajos requisitos de participación en los beneficios). Algunos grupos tienen vínculos con Estados-nación: los hackers norcoreanos desplegaron el ransomware Qilin en marzo de 2025, lo que indica la colaboración entre actores estatales y organizaciones criminales. Los intermediarios de acceso inicial se especializan en violar sistemas y vender acceso a los operadores de ransomware, lo que industrializa aún más el ecosistema.