msimg32.dll La cadena de carga distribuye más de 300 controladores de agente de terminal de casi todos los principales proveedores, lo que convierte la detección exclusiva en los terminales en un único punto de fallo.El ransomware es más rápido, más silencioso y más destructivo que hace tan solo doce meses. Según el informe M-Trends 2026 de Mandiant, el tiempo que transcurre desde el acceso inicial hasta el traspaso del control del teclado se ha reducido drásticamente, pasando de más de ocho horas en 2022 a solo 22 segundos en 2025. Al mismo tiempo, el informe Data Breach Investigations Report 2025 de Verizon reveló que el 44 % de todas las brechas de seguridad ahora implican ransomware, frente al 32 % del año anterior. La detección, y no solo la prevención, es la disciplina que determina si un incidente se convierte en una molestia de 22 segundos o en un parón empresarial de varias semanas. Esta guía explica qué es la detección de ransomware, los cuatro métodos que los defensores deben combinar, cómo se relaciona la detección con la cadena MITRE ATT&CK y por qué el auge en 2026 de los «asesinos de EDR» BYOVD ha obligado a replantearse las estrategias centradas exclusivamente en los endpoints.
La detección de ransomware consiste en identificar la actividad del ransomware —incluidos el cifrado, la sustracción de datos y los comportamientos que los preceden— en los terminales, las redes, las identidades y los planos cloud , de modo que los defensores puedan contener una intrusión antes de que los atacantes alcancen su objetivo. Se diferencia de la prevención del ransomware, que trata de bloquear la intrusión de forma directa.
En la práctica, la detección abarca tres problemas a la vez. En primer lugar, detectar los binarios de ransomware conocidos mediante firmas. En segundo lugar, identificar las técnicas previas al cifrado —eliminación de copias de seguridad, extracción de credenciales, movimiento lateral, manipulación de los sistemas de defensa— antes de que se active la carga útil. En tercer lugar, confirmar el impacto cuando el cifrado o el robo masivo de datos ya están en marcha. Los programas modernos abordan la detección como una disciplina por capas, ya que ninguna fuente de telemetría por sí sola detecta todas las fases de una intrusión de ransomware.
Los atacantes han acelerado el ritmo y, al mismo tiempo, la situación económica ha empeorado.
El patrón es claro: los atacantes son más rápidos, pero los defensores que invierten en sistemas de detección por capas detectan más amenazas. Tal y como ha documentadoVectra AI , la economía del ransomware premia ahora la rapidez en ambos bandos, y la diferencia entre un atacante que actúa en 22 segundos y un defensor que tarda 14 días es lo que determina el éxito o el fracaso de la estrategia de detección.
La mayoría de los programas de ransomware dejan señales de comportamiento durante días antes de iniciar el cifrado. Estar atento a los siguientes indicadores es la medida de detección más eficaz que puede llevar a cabo un centro de operaciones de seguridad (SOC):
vssadmin eliminar instantáneas o equivalentes de WMIrundll32, o msimg32.dll comportamiento del cargadorEstas señales rara vez se producen de forma aislada. Un simple comando vssadmin no es indicativo de nada; sin embargo, si ese mismo comando se produce junto con un nuevo inicio de sesión de una cuenta de servicio y un pico en el tráfico SMB, constituye un indicio muy fiable de que se va a realizar un cifrado.
La mayoría de las guías más citadas enseñan tres métodos de detección. Ese enfoque ha quedado obsoleto. En 2026, la detección eficaz del ransomware combina cuatro categorías —basada en firmas, en el comportamiento, en el tráfico de red y en el engaño— porque ninguna capa por sí sola es capaz de detectar a todos los atacantes.
La detección basada en firmas identifica el ransomware comparando hash de archivos, reglas YARA o patrones de código conocidos con una base de datos de inteligencia sobre amenazas. Es rápida, económica y eficaz contra las cepas más comunes, pero no detecta las variantes novedosas, el código polimórfico ni las cargas útiles sin archivo. En 2026, las firmas deben formar parte de la pila como una capa complementaria, no como la principal. Los antivirus y las herramientas de punto final de primera generación siguen siendo valiosos para detectar rápidamente binarios conocidos; pero no son suficientes por sí solos.
La detección basada en el comportamiento analiza lo que hace un proceso, no lo que es. Las tasas masivas de renombramiento de archivos, los picos de entropía en los directorios, la eliminación de copias de seguridad, la manipulación de las políticas de grupo y los árboles de procesos padre-hijo anómalos son todos indicios de comportamiento. Dado que la detección basada en el comportamiento no depende de haber visto antes la variante, detecta cepas nuevas que las firmas no detectan.
El caso de protección predictiva revelado por Microsoft en marzo de 2026 resulta revelador: la telemetría de comportamiento detuvo el cifrado en unos 700 dispositivos en una sola campaña, bloqueando aproximadamente el 97 % de los intentos de cifrado en las tres horas siguientes a la primera señal. La detección se basó en técnicas de análisis observadas, no en coincidencias de hash.
La detección de red identifica el ransomware a través del tráfico que genera: señales de comando y control, picos de tráfico lateral SMB y RDP, túneles DNS y volúmenes inusuales de exfiltración saliente. Aquí es donde la detección y respuesta de red demuestra su utilidad. La telemetría de red es especialmente valiosa porque opera fuera del perímetro de confianza de los endpoints: un atacante que desactive un agente EDR no puede ocultar los paquetes que el host comprometido sigue enviando. El análisisVectra AI sobre la detección de ransomware basada en NDR destaca cómo la señal de red persiste incluso cuando la telemetría de los endpoints se degrada.
El engaño es la categoría que la mayoría de las guías de la competencia de 2026 omiten, y suele ser la que se activa con mayor rapidez. Los archivos «canario» —archivos señuelo colocados en ubicaciones supervisadas— activan una alerta de alta fiabilidad en el momento en que se modifican, se renombran o se cifran. La investigación sobre honeypots de ransomware realizada por Elastic Security Labs demostró que los archivos «canario» permiten detectar el cifrado de ransomware en unos 12 segundos, lo que resulta más rápido que los métodos basados en firmas o en el comportamiento.
El engaño es económico, presenta un bajo índice de falsos positivos y resulta difícil de detectar para los atacantes sin que estos se delaten. Un solo archivo señuelo cifrado es motivo suficiente para proceder a su contención inmediata.
La detección resulta más eficaz cuando se correlaciona con las fases de una intrusión de ransomware, la cadena de ataque cibernético y el MITRE ATT&CK que utilizan los adversarios. La tabla siguiente relaciona seis etapas comunes con los identificadores de las técnicas, las señales de detección y el método más adecuado.
La conclusión principal que se desprende de este análisis es que los defensores suelen disponer de varios días de aviso antes de que se active el cifrado, siempre que estén vigilando las capas adecuadas. Una campaña que comienza con la ejecución de PowerShell y termina con T1486 El cifrado suele recurrir a tres o cuatro de estas técnicas a lo largo del proceso. La cobertura de la detección debe evaluarse en función de la matriz ATT&CK, y no de una lista de herramientas.
La pregunta clave a la que se enfrentan la mayoría de los responsables de SOC es en qué tipo de herramienta deben invertir a continuación. Las cuatro categorías principales aportan cada una de forma diferente, y la respuesta correcta es casi siempre «una combinación de varias» en lugar de «una de las anteriores». La siguiente comparación describe tipos de capacidades, más que productos concretos.
La detección y respuesta en los puntos finales sigue siendo esencial para lograr visibilidad y contención a nivel de procesos. Sin embargo, cuando los atacantes desactivan el agente del punto final —como ocurre cada vez con más frecuencia en 2026—, la detección y respuesta en la red proporciona la única telemetría que no puede ser manipulada desde el host. Las plataformas SIEM ofrecen una correlación centralizada de registros, pero a menudo adolecen del problema de la fatiga por alertas. Las plataformas de detección y respuesta ampliadas integran estas fuentes mediante una lógica de correlación que reduce la carga que supone la clasificación de alertas.
Cloud no se parece en nada al que afecta a los dispositivos finales. En lugar de cifrar archivos en una estación de trabajo, los atacantes modifican las claves en el almacenamiento de objetos. La campaña «Codefinger 2025», dirigida contra AWS S3, por ejemplo, se valió del cifrado del lado del servidor SSE-C con claves proporcionadas por el cliente: el atacante retenía las claves y exigía un pago a cambio de devolverlas. Ningún archivo fue «cifrado» en el sentido tradicional; la víctima simplemente perdió el acceso a sus propios datos. Vectra AI publicado un análisis sobre la detección de ransomware que se traslada a cloud y un desglose específico del patrón del ransomware Codefinger S3.
Una detección eficaz cloud supervisa el plano de control, no el sistema de archivos:
Tal y como se recoge en el estudio sobre cloud de Wiz Academy, la detección cloud requiere integrar CloudTrail, los registros de auditoría de los servicios de almacenamiento y la telemetría de identidades —un conjunto de datos de telemetría fundamentalmente diferente al de la detección en los puntos finales—.
En abril de 2026, la detección de ransomware superó un umbral al que llevaba acercándose desde hacía dos años. Se observó a miembros de las operaciones Qilin y Warlock actuando en el mundo real mediante un programa malicioso msimg32.dll cadena de carga que carga lateralmente controladores firmados vulnerables, entre los que se incluyen rwdrv.sys (ThrottleStop) y hlpdrv.sys — para obtener privilegios de kernel y desmantelar sistemáticamente las defensas de los dispositivos finales. Según Investigación principal de Cisco Talos sobre el competidor del Qilin EDR, el cargador:
Esto es «Bring Your Own Vulnerable Driver» (BYOVD) a gran escala. Ya no se trata de una prueba de concepto ni de una técnica APT dirigida; es una técnica de ataque habitual incluida en el kit de afiliados de ransomware. Las implicaciones para las empresas se hicieron patentes a principios de 2026 con la intrusión en Covenant Health atribuida a Qilin, que expuso los datos de 478 188 pacientes, sustrajo aproximadamente 852 GB repartidos en 1,35 millones de archivos y obligó a realizar operaciones clínicas en papel durante semanas.
La lección en materia de detección es clara: cuando el ransomware puede desactivar más de 300 controladores EDR, la detección limitada a los puntos finales ya no constituye una defensa en profundidad, sino un único punto de fallo. El análisis Vectra AI sobre la detección de ransomware basada en NDR describe la misma dinámica: un atacante que inutiliza el agente no puede inutilizar la red a través de la cual se comunica, las identidades con las que se autentifica ni los archivos canario que cifra. Las capas de detección que operan fuera del perímetro de confianza de los endpoints —detección y respuesta de red, detección y respuesta de amenazas de identidad y engaño— siguen siendo visibles incluso cuando el agente EDR está inactivo.
Si no puedes medir la detección, no puedes mejorarla. Hay cuatro indicadores que son los más importantes:
El incidente de Change Healthcare de 2024 sigue siendo el caso de estudio que pone de manifiesto lo que está en juego. Un análisis académico publicado en JAMA Health Forum documentó que los atacantes permanecieron nueve días en un portal de Citrix sin autenticación multifactorial (MFA) antes de ser detectados, y el análisis posterior al incidente de CSO Online sitúa los costes totales por encima de los 1000 millones de dólares. Los defensores, que se miden en informes semanales, se ven superados por los atacantes, que actúan en cuestión de segundos. La cadencia de detección debe igualar la cadencia de los ataques, y los planes de respuesta a incidentes deben basarse en plazos de minutos, no de horas.
La detección pone en marcha el plazo reglamentario. En el momento en que se confirma un incidente, comienzan a correr los plazos de notificación reglamentarios; y, en la mayoría de los marcos normativos, estos plazos se miden en horas o días, no en semanas. La siguiente tabla resume las principales obligaciones relacionadas con el ransomware.
Dado que la NIS2 solo concede a las entidades afectadas 24 horas para presentar una notificación inicial, es necesario ensayar previamente el proceso de traspaso de la detección a los departamentos jurídico, de cumplimiento normativo y de dirección. Tanto la guía #StopRansomware de la CISA como el Marco de Ciberseguridad del NIST consideran que los flujos de trabajo desde la detección hasta la notificación son requisitos fundamentales del programa. Esta tabla tiene carácter informativo y no constituye asesoramiento jurídico; las obligaciones específicas dependen de la jurisdicción, el sector y la naturaleza de los datos en cuestión.
Tres tendencias marcarán los próximos 12 a 24 meses en materia de detección de ransomware.
BYOVD se convierte en el estándar, y las pilas exclusivas para terminales pierden terreno. El Qilin/Brujo msimg32.dll La cadena de carga no es un caso aislado; es el punto de partida de una curva de capacidades. Cabe esperar que, a lo largo de 2026, más afiliados adquieran la licencia o copien esta técnica, y que las listas de bloqueo de controladores vulnerables se conviertan en un requisito básico de fortificación, en lugar de un control opcional. Los programas de detección que se basan en un único agente de punto final —sin el respaldo de NDR, ITDR o técnicas de engaño— deben considerarse incompletos.
Cloud supera cloud como principal cloud . La manipulación de SSE-C, la destrucción de instantáneas y el uso indebido de claves de cifrado en el plano de control requieren datos de telemetría que la mayoría de las organizaciones aún no recopilan en tiempo casi real. Las prioridades de inversión para 2026-2027 deberían incluir el análisis de comportamientos cloud, la ingesta de registros de auditoría de CloudTrail y otros servicios equivalentes, y la detección de anomalías entre cuentas.
Los plazos reglamentarios se están reduciendo. La aplicación de la Directiva NIS2 se está intensificando en los Estados miembros de la UE, la norma de la SEC sobre la importancia relativa en un plazo de cuatro días hábiles sigue dando lugar a medidas coercitivas, y varios estados de EE. UU. están elaborando activamente leyes de notificación de violaciones específicas para el ransomware, basadas en los plazos del sector sanitario. Las organizaciones deberían invertir en simulacros que ensayen de principio a fin los plazos de 24 horas de la Directiva NIS2 y de 72 horas del RGPD, y no limitarse únicamente al manual de contención técnica.
Prioridades de preparación: comprueba tu cobertura de detección con respecto a la tabla de la cadena de ataque de ATT&CK que figura más arriba; añade al menos una capa que opere fuera del perímetro de confianza de los terminales; implementa archivos «canario» al menos en las cinco principales ubicaciones de intercambio de archivos; y ensaya el proceso de traspaso de la detección a la notificación con el departamento jurídico cada trimestre.
El cambio hacia el modelo BYOVD en 2026 invalida cualquier estrategia que dependa de una única fuente de telemetría de los terminales. La detección por capas —que combina señales de red, de identidad y de engaño junto con las de los terminales— es la única configuración que sigue siendo visible cuando los atacantes desactivan los agentes EDR. Attack Signal Intelligence Vectra AI da prioridad a las señales de comportamiento posteriores al compromiso en la detección y respuesta de red y en la detección y respuesta a amenazas de identidad, sacando a la luz los comportamientos de movimiento lateral, escalada de privilegios y exfiltración que los cargadores BYOVD no pueden ocultar. La detección eficaz del ransomware en 2026 requiere capas que sobrevivan cuando el agente del punto final no lo haga.
La detección de ransomware en 2026 es una disciplina muy diferente a lo que era hace tan solo un año. Los atacantes operan a un ritmo de 22 segundos; los afiliados alquilan kits de herramientas de nivel industrial; los cargadores BYOVD eliminan cientos de controladores de terminales con una sola pulsación. Los defensores que siguen el ritmo son aquellos que han dejado de considerar la detección como un problema de una sola herramienta y han comenzado a aplicarla en capas a través de cuatro métodos —de firma, de comportamiento, de red y de engaño— y en todas las fuentes de telemetría que puedan sobrevivir cuando el agente del terminal no lo haga.
El camino a seguir está claro: correlacione su cobertura de detección con la cadena MITRE ATT&CK , añada al menos una capa fuera del perímetro de confianza de los terminales, implemente técnicas de engaño allí donde su implementación no suponga ningún coste, y ensaye el proceso de transferencia de la detección a la notificación antes de que empiece a correr el plazo reglamentario. El 47 % de los ataques que ahora se detienen antes del cifrado no es una casualidad: es la recompensa para las organizaciones que invirtieron desde el principio. Para profundizar, explore el trabajo Vectra AI en la búsqueda de amenazas y la detección y respuesta gestionadas.
El NDR analiza el tráfico de red —tanto en dirección norte-sur como este-oeste— utilizando análisis de comportamiento y aprendizaje automático para detectar amenazas como el movimiento lateral, el comando y control cifrado y los ataques contra dispositivos no gestionados. El XDR correlaciona la telemetría de múltiples dominios (terminales, red, cloud, identidad, correo electrónico) para reconstruir cadenas de ataque completas y unificar los flujos de trabajo de respuesta. En pocas palabras: NDR es un especialista en telemetría de red, mientras que XDR es una plataforma de correlación entre dominios. Operan en diferentes capas de una arquitectura de detección moderna y, por lo general, se implementan juntos en lugar de como alternativas.
No. El primer Cuadrante Mágico de Gartner sobre NDR de 2025 confirmó que el NDR es una categoría analítica diferenciada y duradera, incluso a medida que las plataformas XDR han ido madurando. Las arquitecturas Open XDR incorporan cada vez más soluciones NDR de terceros como la mejor fuente de telemetría disponible, reforzándolas en lugar de sustituirlas. Las categorías cumplen funciones diferentes: el NDR proporciona detección especializada de la red, y el XDR ofrece correlación entre dominios. Las organizaciones que las tratan como sustitutos suelen acabar con una cobertura de red más débil, ya que los módulos de red XDR genéricos rara vez igualan la profundidad de los NDR dedicados.
A menudo, sí: si tu SOC cuenta con una solución EDR madura y tu arquitectura incluye un tráfico este-oeste significativo, cloud y sistemas de identidades, ambas soluciones son complementarias. El NDR cubre los puntos ciegos de la red; el XDR proporciona la correlación entre dominios que convierte las señales aisladas en investigaciones. Para los SOC menos maduros o los equipos más pequeños, empezar solo con NDR suele ser la primera medida más valiosa, ya que ofrece un tiempo de retorno de la inversión más rápido, una menor carga de integración y ganancias inmediatas en visibilidad. Avance hacia ambos a medida que la madurez y el presupuesto lo permitan.
Opte primero por NDR cuando el tráfico este-oeste sea un punto ciego crítico, cuando los dispositivos no gestionados o de IoT/OT predominen en su entorno, cuando la fatiga por alertas ya sea uno de los principales problemas, o cuando su equipo carezca de la capacidad técnica necesaria para un proyecto de integración de XDR de varios meses de duración. El modelo de implementación sin agentes de NDR también lo convierte en la mejor opción cuando la coordinación del despliegue de los endpoints supone un obstáculo. Por el contrario, XDR es la mejor primera opción cuando ya se dispone de una telemetría de endpoints madura y la capacidad que falta es la correlación entre dominios, en lugar de la visibilidad de la red.
Los precios de las soluciones NDR suelen ser fijos y basarse en el rendimiento, y su implementación sin agentes reduce tanto los costes iniciales como los de integración continuos. Los precios de XDR varían mucho según el modelo de paquetes del proveedor —por terminal, por fuente de telemetría o por volumen de ingesta— y los proyectos de integración suelen durar entre tres y nueve meses para las plataformas nativas y más tiempo para el XDR abierto. Cuando se calcula el coste total de propiedad teniendo en cuenta las licencias, la implementación, la dotación de personal y la ingeniería de integración, el NDR suele ofrecer un tiempo de retorno de la inversión más rápido y una trayectoria de costes más predecible. La ventaja del TCO de XDR, cuando existe, proviene de la consolidación de múltiples herramientas especializadas en una única plataforma, una ventaja que requiere una integración madura para materializarse.
El EDR (detección y respuesta en endpoints) supervisa cada endpoint mediante agentes instalados. El NDR supervisa el tráfico de red sin agentes, utilizando análisis de comportamiento. El XDR (detección y respuesta ampliadas) correlaciona los datos de telemetría de endpoints, redes, cloud, identidades y correo electrónico para reconstruir narrativas unificadas de los ataques. MDR (detección y respuesta gestionadas) es un servicio más que una categoría tecnológica: un equipo externo se encarga de las operaciones de detección y respuesta, a menudo utilizando una combinación de herramientas EDR, NDR y XDR. EDR, NDR y XDR describen lo que hace una herramienta; MDR describe quién la opera.
Cloud y respuesta Cloud (CDR) es una categoría emergente centrada específicamente en entornos cloud: analiza los eventos del plano cloud , la telemetría de las cargas de trabajo, la actividad de los contenedores y las señales de SaaS de formas que ni el XDR genérico ni el NDR tradicional on-premises abarcan por completo. Para las organizaciones con cargas de trabajo predominantemente cloud, el CDR constituye un tercer eje legítimo junto al NDR (para la profundidad de la red híbrida) y el XDR (para los flujos de trabajo unificados). Es de esperar que el CDR siga siendo una categoría diferenciada al menos hasta 2027, ya que los patrones de ataque cloud continúan divergiendo de la telemetría de los endpoints y de la red.
No del todo. XDR se centra en la correlación entre la detección y la respuesta en un conjunto definido de planos de control, mientras que SIEM sigue siendo la capa centralizada de agregación de registros y retención para el cumplimiento normativo que exigen la mayoría de los marcos regulatorios. Las arquitecturas modernas suelen implementar ambas: XDR se encarga de los flujos de trabajo de detección y respuesta de alta fidelidad, mientras que SIEM conserva las capacidades más amplias de agregación de registros, retención a largo plazo y pista de auditoría exigidas por las normas de divulgación cibernética de NIS2, HIPAA, DORA y la SEC. Enmarcar XDR como un sustituto de SIEM suele reflejar una estrategia de marketing más que la realidad operativa.
La tríada de visibilidad del SOC es una arquitectura de referencia que combina la detección de red, la detección de endpoints y la agregación de registros para ofrecer una cobertura integral de las tres fuentes de telemetría a las que deben acceder los atacantes. Consulte la guía sobre la tríada de visibilidad del SOC para conocer los patrones arquitectónicos y las consideraciones de implementación. El marco de la tríada sigue siendo relevante en 2026, pero cada vez se integra más en la correlación XDR y, en la vanguardia, en la orquestación de SOC basada en agentes.
Los principales inconvenientes del XDR son la ambigüedad en su definición, el riesgo de dependencia de un único proveedor en las arquitecturas nativas y la carga que supone la integración en las arquitecturas abiertas. Los analistas del sector han advertido de que muchos productos comercializados como XDR son plataformas EDR o SIEM reempaquetadas con una capacidad limitada de correlación real entre dominios. La falta de personal cualificado es otro obstáculo: aproximadamente el 47 % de las organizaciones señalan que carecen de los conocimientos técnicos adecuados en operaciones de seguridad (SecOps) para gestionar plataformas de detección sofisticadas. Los compradores deberían exigir pruebas concretas de correlación multisource, una ontología de datos clara y API abiertas, en lugar de aceptar las etiquetas de categoría sin más.