La doble extorsión es la evolución del ransomware que ha cambiado las reglas del juego: los atacantes ya no se conforman con cifrar tus archivos y pedir un rescate. Ahora, antes de activar el cifrado, exfiltran toda la información sensible que pueden. Si no pagas, publican tus datos en la dark web. Esta técnica de ransomware exfiltración convierte cada ataque en una pesadilla doble: pierdes el acceso a tus sistemas y, además, te enfrentas a un data leak ransomware que puede destruir la reputación de tu empresa. Algunos grupos han ido más lejos con la triple extorsión, amenazando también a clientes y proveedores. El chantaje datos se ha profesionalizado hasta niveles que hace cinco años parecían ciencia ficción.
Cómo funciona la doble extorsión paso a paso
El ataque sigue una secuencia metódica. Primero, el grupo de ransomware consigue acceso inicial —normalmente a través de un email de phishing, credenciales robadas o una vulnerabilidad sin parchear como las que han explotado grupos como LockBit o BlackCat (ALPHV).
Una vez dentro, los atacantes se mueven lateralmente por la red durante días o semanas. Usan herramientas legítimas como Cobalt Strike, PsExec o incluso PowerShell para no levantar sospechas. Durante esta fase de reconocimiento, identifican los datos más valiosos: bases de datos de clientes, propiedad intelectual, documentos financieros, información médica.
Antes de cifrar nada, exfiltran los datos. Los suben a servidores controlados por el grupo, a menudo usando servicios cloud legítimos como Mega, rclone o incluso Google Drive para camuflar el tráfico. Solo cuando tienen la copia completa activan el cifrado y dejan la nota de rescate.
La nota incluye un ultimátum: paga o publicamos. Muchos grupos mantienen sitios de filtraciones (leak sites) en la red Tor donde van publicando muestras de los datos robados para presionar. Si conoces cómo funciona el ransomware clásico, la diferencia clave está en esa fase previa de exfiltración que convierte un problema de disponibilidad en un problema de confidencialidad.
Los grupos que popularizaron el modelo
Maze fue el pionero. En noviembre de 2019 publicó datos robados de Allied Universal después de que la empresa se negara a pagar. Aquello abrió la caja de Pandora. En cuestión de meses, prácticamente todos los grupos de ransomware relevantes adoptaron la técnica.
LockBit perfeccionó el modelo con su programa de afiliados y su herramienta de exfiltración automatizada llamada StealBit. En 2023, antes de la operación policial Cronos que desmanteló parte de su infraestructura en febrero de 2024, LockBit era responsable de aproximadamente un tercio de los ataques de ransomware globales según Europol.
BlackCat/ALPHV añadió innovaciones como crear réplicas de los sitios web de las víctimas con los datos filtrados indexables por Google, maximizando el daño reputacional. Cl0p optó por una vía diferente: explotar vulnerabilidades masivas (como las de MOVEit Transfer en 2023, CVE-2023-34362) para robar datos de cientos de organizaciones simultáneamente, a veces sin molestarse en cifrar.
La triple extorsión apareció cuando grupos como REvil empezaron a contactar directamente a los clientes o pacientes cuyos datos habían robado, exigiendo pagos individuales. Imagina que un hospital sufre un ataque y los pacientes reciben emails amenazando con publicar sus historiales médicos. Los ataques a hospitales muestran hasta qué punto esta escalada pone vidas en peligro.
Por qué los backups ya no son suficientes
Durante años, el consejo estrella contra el ransomware fue simple: ten backups actualizados y podrás restaurar sin pagar. Con la doble extorsión ransomware, esa estrategia se queda corta. Puedes restaurar tus sistemas, sí, pero los atacantes siguen teniendo tus datos.
Las empresas se enfrentan a un dilema perverso. Restaurar desde backup soluciona el cifrado, pero no impide la filtración. Y las consecuencias de un data leak pueden ser peores que la propia interrupción operativa:
- Multas RGPD: hasta el 4% de la facturación anual global o 20 millones de euros, lo que sea mayor. La AEPD ha impuesto sanciones relevantes por brechas de datos que podrían haberse mitigado.
- Demandas colectivas: los afectados por la filtración pueden reclamar daños y perjuicios.
- Pérdida de clientes: la confianza es difícil de reconstruir cuando tus datos médicos, financieros o personales aparecen en foros de la dark web.
- Ventaja competitiva comprometida: si filtran propiedad intelectual, contratos o estrategias comerciales, el daño puede ser irreversible.
Por eso la estrategia de defensa tiene que ir mucho más allá del backup. La prevención de la exfiltración —detectar y bloquear la salida anómala de datos— se ha convertido en una prioridad.
Cómo protegerte de la doble extorsión
No hay bala de plata, pero sí una combinación de medidas que reduce drásticamente el riesgo de sufrir chantaje de datos por ransomware.
Segmentación de red: si el atacante entra por un endpoint, que no pueda moverse libremente hasta el servidor de bases de datos. Implementa VLANs, microsegmentación y el principio de mínimo privilegio.
Monitorización de exfiltración: vigila las transferencias de datos anómalas. Si alguien está subiendo 50 GB a Mega a las 3 de la madrugada desde el servidor de contabilidad, tu SIEM debería saltar. Herramientas como Zeek (antes Bro) para análisis de tráfico de red o soluciones DLP pueden detectar estas anomalías.
Cifrado de datos en reposo: si tus datos sensibles están cifrados con claves que el atacante no puede obtener, la exfiltración pierde gran parte de su valor. No podrán amenazar con publicar algo que no pueden leer.
Autenticación multifactor (MFA): la mayoría de accesos iniciales explotan credenciales robadas o débiles. MFA en todos los accesos remotos, VPN, email y paneles de administración. Sin excusas.
Parcheo agresivo: las vulnerabilidades conocidas son la puerta de entrada favorita. Cl0p explotó MOVEit, LockBit aprovechó Citrix Bleed (CVE-2023-4966). Parchear rápido no es opcional.
Y por supuesto, ten un plan de respuesta a incidentes probado y actualizado. Cuando el ransomware golpea, cada minuto cuenta y la improvisación sale cara.
Qué hacer si ya te han atacado
No pagues inmediatamente. El pago no garantiza que borren los datos. Varios estudios de empresas como Cybereason han documentado que una proporción significativa de las organizaciones que pagan sufren un segundo ataque. Además, pagar financia a los criminales y puede tener implicaciones legales si el grupo está sancionado por la OFAC (Oficina de Control de Activos Extranjeros de EE.UU.).
Aísla los sistemas afectados. Desconéctalos de la red pero no los apagues —la memoria RAM puede contener claves de cifrado útiles para el análisis forense. Contacta con las fuerzas de seguridad: en España, el INCIBE-CERT (017) y la Brigada de Investigación Tecnológica de la Policía Nacional pueden asistirte.
Verifica si existe un descifrador gratuito en No More Ransom (nomoreransom.org), un proyecto conjunto de Europol, la Policía Nacional de los Países Bajos y empresas de ciberseguridad. Cubre varias familias de ransomware.
Notifica a la AEPD en un plazo máximo de 72 horas si hay datos personales afectados, como exige el RGPD. Documenta todo: la falta de documentación puede agravar las sanciones.
Si quieres reforzar la seguridad de los dispositivos conectados en tu entorno, la gente de DomóticaYa tiene recursos útiles sobre protección de redes domésticas y IoT.
Preguntas frecuentes
¿Qué diferencia hay entre ransomware clásico y doble extorsión?
El ransomware clásico solo cifra tus archivos y pide un rescate por la clave de descifrado. La doble extorsión añade la amenaza de publicar los datos robados si no pagas. Esto significa que incluso con backups perfectos, sigues expuesto al chantaje por la filtración de información sensible.
¿Pagar el rescate garantiza que no publiquen mis datos?
No. No existe ninguna garantía. Estás negociando con criminales. Se han documentado casos donde los datos se publicaron igualmente después del pago, o donde el mismo grupo volvió a atacar meses después sabiendo que la víctima paga. Las autoridades y la mayoría de expertos desaconsejan pagar.
¿Pueden los antivirus detectar la exfiltración de datos?
Los antivirus tradicionales están diseñados para detectar malware, no transferencias de datos. Para detectar exfiltración necesitas soluciones específicas: DLP (Data Loss Prevention), monitorización de tráfico de red (NDR), y un SIEM bien configurado que correlacione eventos. Herramientas como VirusTotal pueden ayudar a analizar archivos sospechosos, pero la detección de exfiltración requiere visibilidad a nivel de red.
¿Las pymes también son objetivo de doble extorsión?
Sí. Los grandes grupos apuntan a corporaciones, pero los afiliados de programas RaaS (Ransomware as a Service) como LockBit atacaban empresas de todos los tamaños. Las pymes suelen tener menos defensas y menos capacidad de respuesta, lo que las convierte en objetivos rentables para atacantes que prefieren muchos rescates pequeños a uno grande.
El siguiente paso
Abre ahora mismo la configuración de tu firewall o router y revisa las reglas de tráfico saliente. La mayoría de organizaciones filtran el tráfico entrante pero dejan el saliente completamente abierto. Bloquea el tráfico saliente por defecto y permite solo lo estrictamente necesario: los puertos y destinos que tus aplicaciones realmente usan. Esa sola acción puede ser la diferencia entre un atacante que exfiltra 200 GB de datos sin que nadie se entere y una alerta que te da tiempo para reaccionar antes de que la doble extorsión ransomware se convierta en tu peor pesadilla.
