Se calcula que el ransomware causó daños por valor de 57 000 millones de dólares a nivel mundial en 2025, con 85 grupos activos que representaban una fragmentación sin precedentes del panorama de amenazas (Check Point Research, 2025)
Las credenciales de VPN comprometidas representan ahora el 48 % de los ataques de ransomware, lo que convierte al acceso inicial basado en la identidad en el principal vector de entrada (HIPAA Journal, tercer trimestre de 2025)
En el 76 % de los incidentes de ransomware, la filtración de datos se produce antes de que comience el cifrado, lo que hace que, en la práctica, todo ataque de ransomware constituya una filtración de datos (Deepstrike, 2025)
Los tiempos de recuperación han mejorado considerablemente: el 56 % de las organizaciones se recupera ahora en el plazo de una semana, frente al 33 % del año anterior (Sophos, 2025)
El FBI desaconseja el pago de rescates, ya que solo el 46 % de las víctimas que pagan recuperan sus datos y el 80 % sufre ataques posteriores (CSO Online, 2025)
En el tercer trimestre de 2025, operaban simultáneamente 85 grupos de ransomware, la cifra más alta jamás registrada, mientras que los daños alcanzaron los 57 000 millones de dólares a nivel mundial (Check Point Research, 2025; Cybersecurity Ventures, 2025). Solo en marzo de 2026, tres grupos, Qilin, Akira y DragonForce, fueron responsables del 40 % de los 672 incidentes registrados en un solo mes (Infosecurity Magazine, 2026).
Esta guía ofrece a los profesionales de la seguridad, a los analistas de centros de operaciones de seguridad (SOC) y a los directores de seguridad de la información (CISO) información actualizada sobre cómo funciona el ransomware, qué actores maliciosos suponen el mayor riesgo y qué medidas defensivas reducen realmente la exposición. Tanto si está desarrollando capacidades de detección, perfeccionando los procedimientos de respuesta a incidentes o informando a la dirección sobre los riesgos de la organización, la información aquí recogida refleja los estudios sobre amenazas y las mejores prácticas defensivas del FBI, la CISA y MITRE ATT&CK.
¿Qué es el ransomware?
El ransomware es un tipo de software malicioso que cifra los archivos del dispositivo o la red de la víctima y exige el pago de un rescate, normalmente en criptomonedas, para restablecer el acceso. Según el FBI, el ransomware impide el acceso a los archivos, los sistemas o las redes informáticos hasta que se efectúa el pago.
La CISA define el ransomware como malware cifra los archivos de un dispositivo, dejando inutilizables tanto los archivos como los sistemas que dependen de ellos. Las consecuencias operativas van más allá del bloqueo de los archivos: el ransomware interrumpe los procesos empresariales que dependen de esos datos.
Según Cybersecurity Ventures, los daños causados por el ransomware a nivel mundial alcanzaron los 57 000 millones de dólares en 2025, lo que supone aproximadamente 156 millones de dólares al día. Estos costes van mucho más allá del pago de rescates e incluyen la interrupción de la actividad empresarial, los gastos de recuperación, el daño a la reputación y las sanciones normativas.
Los operadores de ransomware modernos llevan a cabo operaciones de reconocimiento, establecen la persistencia y extraen datos confidenciales antes de aplicar el cifrado. Esto convierte cada incidente de ransomware en una posible filtración de datos con consecuencias a largo plazo para las organizaciones afectadas.
En qué se diferencia el ransomware de otros tipos de malware
El ransomware se diferencia del resto malware porque se da a conocer a la víctima. Mientras que el spyware, los troyanos y los virus suelen actuar de forma encubierta, robando datos, creando puertas traseras o dañando archivos sin previo aviso, el ransomware exige un pago mediante notas de rescate explícitas. Esta visibilidad es deliberada: es necesario que la víctima se dé cuenta del ciberataque para poder presionarla a pagar.
Cada malware se distingue por su finalidad, su visibilidad y la forma en que los atacantes se benefician de él.
Tipo de Malware
Objetivo principal
Visibilidad
Modelo financiero
ransomware
Extorsión mediante cifrado
Explícito (demanda de rescate)
Demanda de pago directo
Spyware
Robo de datos
Oculto
Indirecto (venta de datos)
Troyanos
Acceso a distancia
Oculto
Varía
Gusanos
Autopropagación
A menudo visible
Varía
Virus
Corrupción de archivos
A menudo visible
Varía
Los incentivos económicos impulsan una adaptación constante; el cambio de un panorama phishing en 2023 a uno en el que las credenciales de VPN comprometidas representan el 48 % de los ataques en el tercer trimestre de 2025 demuestra la rapidez con la que los operadores cambian de método cuando los defensores cierran un vector.
Cómo funciona el ransomware
Los ataques de ransomware actuales siguen una secuencia de cinco fases, y los defensores pueden frustrar cada una de ellas. La asignación de controles de detección a cada fase es lo que distingue a las organizaciones que detectan a los atacantes antes del cifrado de aquellas que descubren los daños a posteriori.
El ataque típico de ransomware avanza a través de cinco etapas:
Acceso inicial: los atacantes consiguen entrar mediante phishing, credenciales comprometidas o vulnerabilidades explotadas
Movimiento lateral: malware por la red mientras recopila credenciales adicionales.
Escalada de privilegios: los atacantes obtienen acceso administrativo para maximizar el impacto.
Exfiltración de datos: se roba información confidencial antes del cifrado para obtener una doble ventaja de extorsión.
Cifrado y demanda de rescate: los archivos se cifran y las víctimas reciben instrucciones de pago.
Cada etapa corresponde a una oportunidad de detección concreta y a un punto de fallo concreto.
Vectores de ataque del ransomware y acceso inicial
Según HIPAA Journal, las credenciales de VPN comprometidas representaron el 48 % de los ataques de ransomware en el tercer trimestre de 2025, lo que supone un aumento con respecto al 38 % registrado en el segundo trimestre. Esto supone un cambio fundamental con respecto a años anteriores, en los que phishing la vía de acceso inicial phishing .
El acceso mediante credenciales ha superado phishing, a los ataques de explotación y a cualquier otro método de distribución de ransomware
Vector de acceso inicial
Tercer trimestre de 2025 Participación
Tendencia
Credenciales VPN comprometidas
48%
Aumentando
Explotación de servicios externos
23%
Estable
Phishing e ingeniería social
~15%
Disminución
Credenciales RDP comprometidas
~6%
Estable
Ataques a la cadena de suministro
~6%
Aumentando
Este cambio refleja tanto la amplia disponibilidad de credenciales robadas en los mercados del crimen organizado como la eficacia de los intermediarios de acceso inicial, especialistas que vulneran los sistemas y venden el acceso a los operadores de ransomware. Estos intermediarios utilizan programas de robo de información para recopilar credenciales a gran escala.
La explotación de servicios externos representa otro 23 % de los ataques, con campañas recientes dirigidas a vulnerabilidades en dispositivos VPN (CVE-2024-40766 en SonicWall), dispositivos Citrix NetScaler (CVE-2025-5777) y software empresarial como Oracle E-Business Suite (CVE-2025-61882).
Movimiento lateral y exfiltración de datos
Una vez dentro de una red, los operadores de ransomware comienzan a desplazarse lateralmente en un plazo medio de 48 minutos. Los casos más rápidos observados muestran una propagación completa por la red en tan solo 18 minutos (Vectra AI ). Los defensores disponen de menos de una hora, a veces menos de 20 minutos, para detectar y contener la propagación antes de que el atacante tome el control del entorno.
Los atacantes utilizan herramientas y credenciales administrativas legítimas para desplazarse lateralmente, lo que hace que su actividad resulte difícil de distinguir de las operaciones normales de la red sin un análisis de comportamiento.
Según Deepstrike, el 76 % de los ataques de ransomware de 2025 incluyeron la sustracción de datos antes del cifrado, lo que convierte a casi todos los incidentes de ransomware en una filtración de datos en el momento en que comienza el cifrado. Esto permite la doble extorsión: incluso si las víctimas restauran los datos a partir de copias de seguridad, los atacantes amenazan con publicar los datos robados.
Las herramientas más comunes observadas en la fase de exfiltración incluyen:
MITRE ATT&CK recoge las técnicas específicas que utilizan los operadores de ransomware, desde el uso indebido de credenciales (T1078) hasta el cifrado para causar impacto (T1486). La técnica principal del ransomware es la T1486, «Datos cifrados para causar impacto», clasificada dentro de la táctica «Impacto».
En la mayoría de las operaciones de ransomware se observan seis técnicas, que abarcan desde el uso indebido inicial de credenciales hasta el cifrado final, pasando por la evasión de las medidas de defensa.
Técnica ID
Nombre
Táctica
Relevancia del ransomware
T1486
Datos cifrados para causar impacto
Impacto
Técnica principal del ransomware
T1078
Cuentas válidas
Acceso inicial, persistencia
Abuso de credenciales para el acceso
T1021
Servicios a distancia
Movimiento lateral
RDP, SMB para propagación
T1003
Descarga de credenciales del sistema operativo
Acceso con credenciales
Escalada de privilegios
T1059
Interpretador de comandos y scripts
Ejecución
Despliegue de la carga útil
T1562
Deteriorar las defensas
Defensa Evasión
Herramientas para eliminar EDR
Se han asociado más de 70 familias de ransomware a técnicas específicas del marco ATT&CK. Al aplicar esta correspondencia a las detecciones implementadas, se identifica con exactitud dónde existe cobertura y dónde no, un proceso que permite realizar una búsqueda de amenazas específica centrada en las brechas conocidas.
Tipos de ransomware
El ransomware se divide actualmente en varias categorías distintas, cada una con diferentes métodos de cifrado, tácticas de extorsión y modelos de negocio.
Ransomware de cifrado frente a ransomware de bloqueo
El ransomware se divide en dos categorías principales: el ransomware de cifrado (cripto-ransomware) y el ransomware de bloqueo.
El ransomware de cifrado encripta archivos y datos concretos en los dispositivos infectados. Según Keeper Security, las víctimas pueden seguir utilizando sus dispositivos, pero no pueden acceder a los archivos cifrados sin la clave de descifrado. El ransomware de cifrado moderno utiliza algoritmos de cifrado robustos, como AES-256, ChaCha20 y RSA-2048, cuyo descifrado resulta computacionalmente inviable.
El ransomware de bloqueo (screen lockers) adopta un enfoque diferente, ya que impide a los usuarios acceder a todo su sistema en lugar de cifrar archivos concretos. Según Check Point, las variantes de bloqueo impiden cualquier acceso al dispositivo hasta que se efectúe el pago. Aunque el ransomware de bloqueo era más habitual en los inicios de este tipo de software, hoy en día predomina el ransomware de cifrado debido a su mayor impacto y a que la recuperación resulta más complicada.
Las estrategias de recuperación, respuesta y copia de seguridad difieren considerablemente entre ambos.
Tipo
Qué hace
El usuario aún puede...
Recuperación sin pago
Cripto-ransomware
Cifra archivos
Utilizar el dispositivo, acceder a datos sin cifrar.
Restaurar desde copias de seguridad
Ransomware Locker
Bloquea todo el sistema.
Nada
Reimagen del sistema
Ransomware de doble y triple extorsión
Hoy en día, la mayoría de los ataques de ransomware combinan el cifrado con el robo de datos, y algunos incluyen además ataques DDoS y amenazas de terceros.
Ransomware de doble extorsión combina el cifrado de datos con el robo de datos. Los atacantes primero sustrajan información confidencial y, a continuación, cifran los sistemas. Si las víctimas restauran los datos a partir de copias de seguridad sin pagar, los atacantes amenazan con publicar o vender los datos robados. Según Arctic Wolf, el 96 % de los casos de respuesta a incidentes de ransomware en 2025 implicaron la sustracción de datos, lo que convierte la doble extorsión en la norma más que en la excepción.
El ransomware de triple extorsión recurre a tácticas de presión adicionales, más allá del cifrado y el robo de datos:
Amenazar con ponerse en contacto con los clientes, socios o pacientes de la víctima para informarles sobre la violación de datos.
Lanzamiento de ataques DDoS contra la infraestructura de la víctima.
Dirigirse a terceros con demandas de extorsión basadas en datos robados.
El resultado es una acumulación de perjuicios: interrupciones operativas debidas al cifrado, obligaciones de notificación de violaciones de seguridad por la filtración de datos y daño a la reputación por las amenazas de filtraciones públicas, todo ello de forma simultánea.
¿Qué es el ransomware como servicio (RaaS)?
Según IBM, el «ransomware como servicio» (RaaS) es un modelo de negocio en el que los desarrolladores de ransomware venden o alquilan su malware afiliados que llevan a cabo los ataques propiamente dichos. Este modelo ha industrializado el ransomware, transformándolo de un delito técnico en una operación de franquicia.
Los operadores de RaaS proporcionan a los afiliados:
Cargas útiles de ransomware listas para desplegarse
Paneles administrativos para la gestión de víctimas
Infraestructura de procesamiento de pagos
Herramientas de apoyo a la negociación y comunicación con las víctimas
Soporte técnico y actualizaciones
A cambio, los afiliados comparten los ingresos obtenidos por el rescate con los operadores de RaaS. Según Flashpoint, la participación habitual de los afiliados oscila entre el 70 % y el 85 % de los pagos del rescate, y Qilin ofrece una participación del 85 %, líder en el sector, para atraer a los afiliados.
Ahora, incluso los delincuentes sin conocimientos técnicos pueden utilizar ransomware de nivel profesional, razón por la cual el número de grupos activos alcanzó los 85 en el tercer trimestre de 2025.
El panorama de las amenazas de ransomware
En el tercer trimestre de 2025 operaron simultáneamente 85 grupos de ransomware, una cifra récord. Entre enero y septiembre se registraron 4.701 incidentes en todo el mundo, lo que supone un aumento del 46 % con respecto al mismo periodo de 2024. Esta fragmentación se debe a las medidas de las fuerzas del orden contra los principales grupos y refleja la facilidad con la que los nuevos grupos pueden ponerse en marcha utilizando la infraestructura de RaaS.
Solo en marzo de 2026 se registraron 672 incidentes de ransomware, y tan solo tres grupos (Qilin, Akira y DragonForce) fueron responsables del 40 % del total.
Los grupos de ransomware más activos en 2025
Grupo
Estado
Actividad en 2025
Características destacadas
Qilin
El más activo
Más de 75 víctimas al mes
85 % de participación de afiliados; enfoque en la cadena de suministro
Akira
Top 3
244,17 millones de dólares en ingresos
Dirigido a pymes e infraestructuras críticas.
Medusa
Activo
Más de 300 víctimas (a febrero de 2025)
Ataques contra infraestructuras críticas
DragonForce
En aumento
Creciendo rápidamente
Requisitos bajos de participación en los beneficios
LockBit 5.0
Reapareció (septiembre de 2025)
Más de 15 víctimas tras el relanzamiento
Recuperación tras una acción policial
RansomHub
INACTIVO (abril de 2025)
Cese de operaciones
Afiliados migrados a otros grupos
Qilin se ha consolidado como el grupo de ransomware dominante, con más de 75 víctimas al mes en el tercer trimestre de 2025. La participación del 85 % en los ingresos que ofrece el grupo a sus afiliados, superior a la de la competencia, ha atraído a afiliados cualificados procedentes de operaciones ya disueltas. Cabe destacar que actores maliciosos norcoreanos desplegaron cargas útiles de Qilin en marzo de 2025, lo que apunta a una colaboración entre un Estado-nación y operaciones criminales de ransomware.
Según los avisos de la CISA, Akira había acumulado 244,17 millones de dólares en ingresos a finales de septiembre de 2025. El grupo tiene como objetivo a las pymes y a las infraestructuras críticas de los sectores de la industria manufacturera, la educación, las tecnologías de la información, la sanidad y los servicios financieros.
LockBit reapareció con la versión 5.0 en septiembre de 2025, a pesar de la considerable presión ejercida por las fuerzas del orden, incluida la Operación Cronos. Aunque su actividad ha disminuido con respecto a su momento álgido, la persistencia del grupo pone de manifiesto la resistencia de las operaciones RaaS bien consolidadas.
Casos prácticos de gran repercusión mediática
Change Healthcare (2024-2025): El ataque de ALPHV/BlackCat contra Change Healthcare constituye la mayor filtración de datos sanitarios de la historia de Estados Unidos. Según la AHA, se vieron afectadas aproximadamente 192,7 millones de personas, con unos costes totales estimados en 3000 millones de dólares. La causa principal fue el robo de credenciales de un servidor Citrix que carecía de autenticación multifactorial, un fallo en un control de seguridad básico con consecuencias catastróficas.
Campaña «Korean Leaks» de Qilin (septiembre de 2025): Según The Hacker News, Qilin comprometió a un único proveedor de servicios gestionados (GJTec) y utilizó ese acceso para atacar a 28 organizaciones subordinadas, entre ellas 24 del sector financiero de Corea del Sur. Se sustrajeron más de un millón de archivos y 2 TB de datos. Este ataque a la cadena de suministro demuestra cómo el compromiso de un solo proveedor de servicios gestionados puede amplificar el impacto del ransomware de forma exponencial.
Campaña de Clop contra Oracle EBS (noviembre de 2025): Según Z2Data, el grupo de ransomware Clop aprovechó la vulnerabilidad CVE-2025-61882 (CVSS 9,8) en Oracle E-Business Suite para atacar a más de 100 empresas, entre ellas Broadcom, Estee Lauder, Mazda, Canon, Allianz UK y The Washington Post. La campaña siguió el mismo guion de explotación masiva que Clop utilizó contra MOVEit en 2023: mismo grupo, misma táctica, diferente vulnerabilidad.
Estadísticas sobre el impacto en la industria
El sector sanitario fue el principal objetivo del ransomware en 2025, con 460 ataques y 182 filtraciones de datos denunciadas al FBI, lo que suma un total de 642 incidentes cibernéticos (Informe Anual del IC3 de 2025, publicado en abril de 2026). El sector de los servicios financieros ocupó el segundo lugar, con un total de 447 incidentes.
La concentración de los ataques en sectores específicos refleja tanto el valor de los datos que estos poseen como la presión operativa que hace que las víctimas se muestren más dispuestas a pagar.
Sector
Porcentaje de ataques en 2025
Variación interanual
Datos clave
Sanidad
N.º 1 en el ranking (FBI IC3 2025)
Aumentando
Un total de 642 incidentes cibernéticos; 88 grupos de amenazas distintos que tienen como objetivo el sector
Fabricación
El 26 % de las víctimas registradas
+61%
23,1 % de las reclamaciones de seguros
Educación
180 ataques (primer trimestre – tercer trimestre de 2025)
+69 % en el primer trimestre
4.388 ataques por semana en el segundo trimestre
Servicios financieros
N.º 2: delitos con víctimas específicas (FBI IC3 2025)
Estable
447 incidentes cibernéticos en total; el 15,4 % de las reclamaciones de seguros
Según el análisis del DBIR de Verizon, el 88 % de las filtraciones de datos en las pymes están relacionadas con el ransomware, frente al 39 % en el caso de las grandes empresas. Sin recursos de seguridad específicos ni capacidades de respuesta ante incidentes, el 60 % de las pequeñas empresas que sufren un ataque cierran en un plazo de seis meses.
Tres niveles de control diferenciados —prevención, detección y respuesta— marcan la diferencia entre las organizaciones que logran recuperarse del ransomware y las que no. La prevención es el nivel más económico. La detección y la respuesta determinan el resultado una vez que el atacante ya se ha infiltrado en el sistema.
12 medidas esenciales para prevenir el ransomware
La guía #StopRansomware de la CISA define los controles básicos que toda organización debería implementar. Estos 12 controles abordan los vectores de ataque más comunes y reducen la vulnerabilidad a lo largo de la cadena de ataque del ransomware.
Medidas prioritarias (aplicar de inmediato):
Dar prioridad a la corrección de las vulnerabilidades conocidas que han sido objeto de explotación, centrándose en las entradas del catálogo KEV de la CISA
Habilitar y aplicar la autenticación multifactorial phishing en todos los servicios externos.
Realice copias de seguridad cifradas y fuera de línea con regularidad, y pruebe los procedimientos de restauración.
El hecho de que el 48 % de los ataques se produzcan mediante credenciales de VPN comprometidas hace que sea urgente tomar tres medidas: auditar las configuraciones de VPN, aplicar la autenticación de dos factores (MFA) en todos los accesos remotos y evaluar el acceso de red de confianza cero como alternativa a la VPN.
Estrategia de copia de seguridad para la resiliencia ante el ransomware
La regla de copias de seguridad 3-2-1-1-0, tal y como la describe Veeam, ofrece una protección de datos resistente al ransomware:
3 copias de los datos (una principal y dos copias de seguridad)
2 tipos diferentes de soportes de almacenamiento
1 copia fuera de las instalaciones
1 copia inmutable o aislada
0 errores tras las pruebas de verificación
El almacenamiento inmutable convierte las copias de seguridad al formato «escribir una vez, leer muchas veces» (WORM), que no se puede sobrescribir, modificar ni eliminar, ni siquiera por parte de administradores con privilegios completos. Esto protege contra el ransomware que ataca específicamente a los sistemas de copias de seguridad.
Las copias de seguridad que no se comprueban no son copias de seguridad. Verificar los procedimientos de restauración al menos una vez al trimestre —y documentar los tiempos de recuperación reales comparándolos con los objetivos establecidos— marca la diferencia entre una copia de seguridad que funciona y una que simplemente existe.
Indicadores de detección de ransomware
Cada etapa de la cadena de ataque del ransomware genera rastros en la red que las herramientas basadas en firmas no detectan. La detección y respuesta en red revela el movimiento lateral, la exfiltración y el tráfico de comando y control que los agentes de los terminales nunca detectan.
malware precursor malware vigilar:
Los cargadores Bumblebee, Dridex, Emotet, QakBot y Anchor suelen preceder al despliegue del ransomware.
La detección de estas amenazas debe desencadenar una investigación inmediata.
Indicadores de red de actividad de ransomware:
Salida de datos anómala en cualquier puerto (exfiltración)
Herramientas como Rclone, Rsync, FTP/SFTP para mover grandes volúmenes de datos.
Llamadas de retorno de C2 a una infraestructura desconocida
Patrones de movimiento lateral (autenticación inusual, uso indebido de cuentas de servicio)
Intentos de túnel DNS
Actividad de suplantación de ARP
Cuando una cuenta de servicio se autentica a las 3 de la madrugada, una sesión de administrador transfiere 40 GB a un servidor externo o un usuario accede a recursos compartidos que nunca antes había utilizado, esas anomalías son la señal.
Si su organización sufre un ataque de ransomware, la CISA ofrece orientación para una respuesta inmediata:
Aísle inmediatamente: desconecte los sistemas afectados de la red para evitar la propagación.
NO reinicie ni reinicie el sistema, ya que esto podría provocar daños adicionales o destruir pruebas forenses.
Copias de seguridad seguras: desconecte los sistemas de copia de seguridad para evitar el cifrado.
Documenta todo: haz capturas de pantalla de las notas de rescate y conserva el estado del sistema.
Evaluar el alcance: determinar qué sistemas se ven afectados y el alcance del cifrado.
Póngase en contacto con las autoridades: notifique al FBI, a la CISA y a las fuerzas del orden locales.
Busca descifradores gratuitos: el proyecto «No More Ransom » ofrece herramientas de descifrado gratuitas para más de 100 familias de ransomware
Actuar durante la primera hora determina si el ataque se limita a un segmento o se propaga por toda la red.
Según Sophos, el 56 % de las organizaciones se recuperó en el plazo de una semana en 2025, frente al 33 % registrado en 2024. La diferencia entre las organizaciones que se recuperan en cuestión de días y las que tardan meses se está reduciendo.
Plazo de recuperación
2025
2024
Cambiar
En un día
16%
7%
+9 puntos
En el plazo de una semana
56%
33%
+23 puntos
De uno a seis meses
11%
31%
-20 puntos
¿Deberías pagar el rescate de un ransomware?
El FBI y la CISA recomiendan no pagar rescates. Los datos respaldan esta postura:
Solo el 46 % de las organizaciones que pagan rescates recuperan con éxito sus datos (CSO Online).
El 93 % de las víctimas que pagaron aún sufrieron el robo de sus datos, que quedaron potencialmente expuestos.
Aproximadamente el 80 % de las organizaciones que pagaron sufrieron ataques posteriores.
El pago financia a las organizaciones criminales e incentiva futuros ataques.
El comportamiento de las víctimas refleja estas tendencias. Según Sophos, el 63 % de las víctimas de ransomware se negaron a pagar en 2025, frente al 59 % registrado en 2024. Por otra parte, el 97 % de las organizaciones recuperaron con éxito sus datos mediante copias de seguridad u otros medios, lo que demuestra que el pago no es necesario para la recuperación.
Si está considerando realizar un pago, antes de tomar cualquier decisión debería consultar con un asesor jurídico y ponerse en contacto con las fuerzas del orden. Algunos pagos pueden infringir la normativa sobre sanciones, y es posible que las autoridades dispongan de información de inteligencia sobre el autor de la amenaza en cuestión que cambie el panorama.
Cumplimiento normativo y requisitos reglamentarios en materia de ransomware
La NIS2, la norma NIST IR 8374 y la legislación británica propuesta exigen ahora controles específicos contra el ransomware y plazos para la notificación de incidentes. La adaptación de los controles existentes a los requisitos de estos marcos normativos, así como la generación de pruebas listas para auditoría, es una necesidad operativa, no un mero ejercicio de gobernanza.
Mapeo del marco
NIST IR 8374 — Perfil de gestión de riesgos de ransomware: Esta publicación del NIST aplica las cinco funciones básicas del Marco de Ciberseguridad (Identificar, Proteger, Detectar, Responder, Recuperar) específicamente al riesgo de ransomware. Actualizada para el CSF 2.0 en enero de 2025, ofrece orientación práctica alineada con la norma ISO/IEC 27001:2013 y la NIST SP 800-53 Rev. 5.
MITRE ATT&CK : La versión 18 de ATT&CK (octubre de 2025) recoge más de 70 familias de ransomware y sus técnicas. Las organizaciones pueden utilizar ATT&CK para comprobar la cobertura de detección frente a comportamientos conocidos de ransomware e identificar las carencias en sus capacidades.
Directiva NIS2 (UE): La Directiva NIS2 exige a las entidades esenciales e importantes de 18 sectores críticos que apliquen controles específicos contra el ransomware. Entre los requisitos clave se incluyen la notificación temprana de incidentes significativos en un plazo de 24 horas y sanciones de hasta 10 millones de euros o el 2 % de la facturación global en caso de incumplimiento.
La indemnización media por reclamaciones de seguros relacionadas con el ransomware ascendió a 1,18 millones de dólares en 2025, lo que supone un aumento interanual del 17 % (Resilience, 2025). El ransomware representa el 76 % de las pérdidas sufridas, a pesar de que solo supone el 56 % de las reclamaciones.
Las aseguradoras rechazaron aproximadamente el 40 % de las reclamaciones de seguros cibernéticos en 2024, alegando a menudo las exclusiones por «incumplimiento de las medidas de seguridad» (HIPAA Journal). A la hora de evaluar las reclamaciones, examinan minuciosamente la gestión de vulnerabilidades, las prácticas de seguridad, la implantación de la autenticación multifactorial (MFA) y los procedimientos de copia de seguridad.
Una preocupación creciente: se ha observado que el grupo de ransomware Interlock roba las pólizas de seguro cibernético de sus víctimas para ajustar sus demandas de rescate a los límites de cobertura. Cuando los atacantes conocen el límite máximo de tu cobertura, un seguro adecuado sin las mejoras de seguridad correspondientes se convierte en un riesgo.
Cómo Vectra AI el ransomware
Vectra AI la defensa contra el ransomware mediante Attack Signal Intelligence, detectando los comportamientos de los atacantes a lo largo de toda la cadena de ataque, en lugar de basarse en firmas o indicadores conocidos. Mediante el análisis del tráfico de red, cloud y las señales de identidad, la plataforma identifica los patrones de movimiento lateral, escalada de privilegios y exfiltración de datos que preceden al despliegue del ransomware.
El modelo «Assume Compromise» parte de la premisa de que los controles preventivos fallarán y centra la detección en lo que ocurre tras el acceso inicial. El intervalo de tiempo entre el acceso inicial y el cifrado, que a menudo es de tan solo 18 minutos, es donde la detección de amenazas basada en el comportamiento detecta lo que las firmas no detectan.
La detección basada en IA identifica nuevos comportamientos del ransomware sin necesidad de conocer previamente variantes específicas. Cuando los atacantes desarrollan nuevas técnicas de evasión, el análisis de comportamiento sigue detectando los patrones subyacentes —como el uso indebido de credenciales, el acceso inusual a datos o los intentos de conexión lateral— que se mantienen constantes en todas las campañas.
Sin una visión global de las capas de identidad, cloud y red, los atacantes llegan a la fase de cifrado sin ser detectados.
Dónde fallan la mayoría de las defensas contra el ransomware
Los grupos de ransomware se reorganizan a las pocas semanas de sufrir una intervención policial, cambian sus vectores de ataque en cuestión de trimestres y adoptan nuevas tácticas de extorsión en unos meses. Las organizaciones que implementan la autenticación multifactorial (MFA), mantienen copias de seguridad inmutables y probadas, segmentan sus redes e implementan sistemas de detección de comportamiento se recuperan más rápidamente y evitan pagar rescates.
El camino a seguir comienza con una evaluación sincera:
¿Dispone de una visibilidad constante de los movimientos laterales en su entorno híbrido?
¿Son capaces tus herramientas actuales de detectar el uso indebido de credenciales y la escalada de privilegios antes de que comience el cifrado?
¿Son tus copias de seguridad realmente inmutables? ¿Has probado la restauración en los últimos 90 días?
¿Sabes qué MITRE ATT&CK cubre tu sistema de detección y dónde se encuentran las lagunas?
¿Puede demostrar que está preparado para cumplir con la normativa aportando pruebas, y no solo documentación?
El ransomware en 2025 representa una amenaza madura, sofisticada y muy fragmentada que ninguna organización puede permitirse ignorar. Con 85 grupos activos, 57 000 millones de dólares en daños a nivel mundial y ataques que combinan habitualmente el cifrado con el robo de datos, nunca ha habido tanto en juego.
Los datos demuestran que la prevención y la preparación funcionan. Las organizaciones que implementan la autenticación multifactorial (MFA), mantienen copias de seguridad inmutables y probadas, y segmentan sus redes se recuperan más rápidamente y evitan pagar rescates. Las que invierten en capacidades de detección, en particular en análisis de comportamiento basados en la red, detectan a los atacantes antes de que comience el cifrado.
El camino a seguir requiere una evolución continua. A medida que los operadores de ransomware desarrollan nuevas técnicas y explotan nuevas vulnerabilidades, los defensores deben adaptarse. Las pruebas periódicas de la cobertura de detección con respecto al MITRE ATT&CK , la formación continua en materia de seguridad y las pruebas trimestrales de restauración de copias de seguridad proporcionan la base para unas operaciones resilientes.
Para las organizaciones que buscan reforzar sus defensas contra el ransomware, el enfoque Vectra AI en materia de Attack Signal Intelligence detección en toda la cadena de ataque, identificando los comportamientos que preceden al despliegue del ransomware, independientemente de malware específicas malware o las técnicas de evasión.
Fuentes y metodología
Las estadísticas y la información sobre amenazas que se citan en esta guía proceden de las siguientes fuentes:
Informe anual del FBI IC3 de 2025 (publicado en abril de 2026): datos sobre ataques de ransomware por sectores
Check Point Research, tercer trimestre de 2025: número de grupos de ransomware activos y volumen de ataques
Revista Infosecurity, abril de 2026 — Volumen de incidentes y atribución a grupos en marzo de 2026
Revista HIPAA, tercer trimestre de 2025 — Distribución de los vectores de acceso iniciales
Informe de Sophos sobre el estado del ransomware en 2025: tiempos de recuperación, índices de pago y comportamiento de las víctimas
Cybersecurity Ventures, 2025 — previsiones de pérdidas a nivel mundial
Arctic Wolf, 2025: prevalencia de la doble extorsión en casos de respuesta a incidentes
Informe DBIR 2025 de Verizon: datos sobre la exposición al ransomware de las pymes
Informe sobre resiliencia frente a los riesgos cibernéticos, 2025: importes medios de las indemnizaciones y tasas de denegación
Flashpoint, 2025 — Datos sobre la participación en los ingresos de los afiliados de RaaS
Guía #StopRansomware de la CISA: medidas de prevención y orientación para la respuesta ante incidentes
MITRE ATT&CK (octubre de 2025): correspondencia de técnicas y documentación sobre familias de ransomware
NIST IR 8374 (actualizado en enero de 2025) — Perfil de gestión de riesgos de ransomware
Los incidentes mencionados (Change Healthcare, Qilin Korean Leaks y Clop Oracle EBS) proceden de AHA, The Hacker News y Z2Data, respectivamente.
Preguntas frecuentes
¿Qué es el ransomware en términos sencillos?
El ransomware es un software malicioso que bloquea los archivos cifrándolos y, a continuación, exige un pago —normalmente en criptomonedas— para desbloquearlos. Según el FBI, se trata de una de las formas de ciberataque más perjudiciales desde el punto de vista económico, ya que supone un coste medio para las organizaciones de entre 5,5 y 6 millones de dólares por incidente. Los atacantes envían una nota de rescate con instrucciones de pago y un plazo límite. Si se paga, afirman que proporcionarán una clave de descifrado, aunque no garantizan la recuperación de los datos. El ransomware moderno también roba tus datos antes de cifrarlos, amenazando con publicar información confidencial si no pagas, incluso después de restaurar los datos desde las copias de seguridad.
¿Cómo llega el ransomware a tu ordenador?
En el tercer trimestre de 2025, las credenciales de VPN comprometidas representaron el 48 % de los ataques de ransomware (HIPAA Journal). Phishing con archivos adjuntos o enlaces maliciosos siguen siendo un vector principal. La explotación de vulnerabilidades sin parchear en sistemas conectados a Internet —especialmente dispositivos VPN, dispositivos Citrix y software empresarial— ofrece otro punto de entrada. Los ataques a la cadena de suministro a través de proveedores de servicios gestionados o de software pueden comprometer a varias organizaciones simultáneamente. Una vez que los atacantes obtienen el acceso inicial, suelen pasar días o semanas moviéndose por la red y robando datos antes de aplicar el cifrado.
¿Deberías pagar el rescate?
El FBI y la CISA desaconsejan el pago de rescates. Las estadísticas respaldan esta recomendación: solo el 46 % de las organizaciones que pagan recuperan sus datos con éxito, mientras que el 80 % de quienes pagan sufren ataques posteriores. En 2025, el 63 % de las víctimas de ransomware se negaron a pagar, y el 97 % de las organizaciones recuperaron sus datos mediante copias de seguridad u otros medios. El pago de rescates financia a las organizaciones criminales e incentiva futuros ataques. Si está considerando el pago, consulte primero a un asesor legal y póngase en contacto con las fuerzas del orden. Algunos pagos pueden infringir las normas sobre sanciones, y las autoridades pueden disponer de información que influya en su decisión.
¿Qué debe hacer si es víctima de un ransomware?
Aísle inmediatamente los sistemas afectados desconectándolos de la red para evitar que el ataque se propague. No reinicie los sistemas, ya que esto podría provocar daños adicionales o destruir pruebas forenses. Proteja y desconecte los sistemas de respaldo para evitar que sean cifrados. Documente todo tomando capturas de pantalla de las notas de rescate y conservando el estado del sistema. Evalúe el alcance del ataque para determinar qué sistemas se han visto afectados. Póngase en contacto con el FBI, la CISA o las fuerzas del orden locales. Antes de plantearse el pago, consulte el proyecto No More Ransom para obtener herramientas de descifrado gratuitas: disponen de descifradores para más de 100 familias de ransomware.
¿Cómo puedes protegerte contra el ransomware?
La autenticación multifactorial (MFA) Phishing en todos los servicios externos y puntos de acceso remoto es la medida de control de mayor impacto. Mantenga copias de seguridad fuera de línea e inmutables siguiendo la regla 3-2-1-1-0 detallada por Veeam. Aplique parches a las vulnerabilidades explotadas conocidas sin demora; dé prioridad a las entradas del catálogo de vulnerabilidades explotadas conocidas de la CISA. Implemente la segmentación de la red para limitar el movimiento lateral. Implemente soluciones EDR, NDR o XDR con capacidades de detección en tiempo real. Separe las cuentas administrativas de las de uso diario y exija contraseñas de al menos 15 caracteres. Considere el acceso zero trust como sustituto de la VPN, dado que las credenciales de VPN comprometidas representan el 48 % de los ataques.
¿Qué es el ransomware de doble extorsión?
El ransomware de doble extorsión combina el cifrado tradicional de archivos con el robo de datos. Los atacantes primero extraen datos confidenciales de la red, luego cifran los sistemas y exigen un pago. Si las víctimas restauran los datos a partir de copias de seguridad sin pagar, los atacantes amenazan con publicar o vender los datos robados en sitios web de filtraciones. Según Arctic Wolf, el 96 % de los casos de respuesta a incidentes de ransomware en 2025 implicaron la exfiltración de datos, lo que convierte a la doble extorsión en el modelo operativo estándar. Incluso las organizaciones con excelentes prácticas de copia de seguridad se enfrentan a una presión significativa para pagar, ya que la exposición de los datos conlleva sanciones normativas, daños a la reputación y perjuicios competitivos.
¿Quién está detrás de los ataques de ransomware?
Los grupos ciberdelictivos organizados que gestionan plataformas de «ransomware como servicio» (RaaS) son los responsables de la mayoría de los ataques de ransomware en la actualidad. Según Check Point Research, en el tercer trimestre de 2025 había 85 grupos de ransomware distintos en activo. Entre los más activos se encuentran Qilin (más de 75 víctimas al mes, 85 % de participación en los ingresos de los afiliados), Akira (244 millones de dólares en ingresos), Medusa más de 300 víctimas en infraestructuras críticas) y DragonForce (en auge debido a sus bajos requisitos de participación en los beneficios). Algunos grupos tienen vínculos con Estados-nación: hackers norcoreanos desplegaron el ransomware Qilin en marzo de 2025, lo que indica una colaboración entre actores estatales y organizaciones criminales. Los intermediarios de acceso inicial se especializan en violar sistemas y vender el acceso a los operadores de ransomware, lo que industrializa aún más el ecosistema.
¿Cómo puedo saber si tengo un ransomware?
El indicador más evidente es una nota de rescate que aparece en pantalla: un archivo de texto, una página HTML o un fondo de escritorio con instrucciones de pago y un plazo límite. Otros indicios son archivos que de repente no se pueden abrir o que tienen extensiones desconocidas añadidas a sus nombres, un rendimiento del sistema inusualmente lento y el software antivirus desactivado sin explicación alguna. En entornos empresariales, los equipos de seguridad pueden observar eventos de modificación masiva de archivos, procesos de cifrado inesperados que consumen recursos de la CPU y del disco, o tráfico C2 hacia direcciones externas desconocidas. Si sospecha que se trata de un ransomware, aísle el sistema afectado inmediatamente y no lo reinicie: el reinicio podría desencadenar un cifrado adicional o destruir las pruebas forenses necesarias para la investigación.
¿Puedes eliminar el ransomware?
La eliminación del ransomware implica aislar los dispositivos infectados, identificar la variante específica del ransomware y eliminar los archivos maliciosos. Aunque las herramientas antivirus o los equipos profesionales de respuesta a incidentes pueden ayudar en la eliminación, malware eliminar el malware no descifra los datos bloqueados. La recuperación depende del tipo de ransomware, de la disponibilidad de copias de seguridad o claves de descifrado, y de si el cifrado puede revertirse. El proyecto No More Ransom ofrece herramientas de descifrado gratuitas para más de 100 familias de ransomware; consulte siempre este recurso antes de plantearse el pago. En entornos empresariales, se recomienda contratar a un equipo profesional de respuesta a incidentes para garantizar la eliminación completa, evitar la reinfección y preservar las pruebas forenses para fines policiales y de seguros.
