Login Probar gratis
Qué es el ransomware y cómo funciona: todo lo que necesitas saber

Qué es el ransomware y cómo funciona: todo lo que necesitas saber

por MataSpam Malware y Virus

El ransomware es, sin rodeos, el chantajista digital más efectivo que existe. Si te preguntas qué es ransomware, la respuesta corta es esta: un tipo de malware que se cuela en tu sistema, ejecuta un cifrado malicioso de tus archivos y te exige un rescate ransomware —normalmente en criptomonedas— para devolverte el acceso. Es, literalmente, un secuestro de archivos en toda regla, solo que en lugar de una nota escrita con recortes de periódico, recibes una bonita pantalla roja con un temporizador. Y no, no es ciencia ficción: según el informe de Sophos de 2024, el 59% de las organizaciones sufrieron un ataque de ransomware en el último año. Bienvenido al negocio más rentable del cibercrimen.

Cómo funciona el ransomware paso a paso

Entender el mecanismo de un ataque de ransomware es fundamental para saber defenderte. No es magia negra, es ingeniería social combinada con criptografía. Así funciona el ciclo típico de infección:

  1. Vector de entrada: El malware necesita entrar. El método favorito sigue siendo el phishing por email —un archivo adjunto disfrazado de factura, un enlace a una supuesta entrega de paquetería—. Si alguna vez te han llegado facturas falsas por email intentando que pagues sin pensar, ya conoces la mecánica. Otros vectores incluyen vulnerabilidades en software sin parchear (RDP expuesto, servidores Exchange, VPNs obsoletas) y descargas desde sitios comprometidos.
  2. Ejecución y persistencia: Una vez dentro, el código malicioso se ejecuta, a menudo con privilegios elevados. Desactiva el antivirus, borra las shadow copies de Windows (esas copias de seguridad automáticas que podrían salvarte) y se asegura de sobrevivir a reinicios.
  3. Cifrado de archivos: Aquí viene lo gordo. El ransomware recorre tus discos y unidades de red cifrando documentos, bases de datos, fotos, todo lo que tenga valor. Usa algoritmos de cifrado malicioso robustos como AES-256 combinado con RSA para proteger la clave. Sin la clave privada del atacante, recuperar tus datos es matemáticamente inviable.
  4. Nota de rescate: Aparece el mensaje. Pantalla completa, archivo de texto en cada carpeta, o ambos. Te dan un plazo —48 o 72 horas—, una dirección de Bitcoin o Monero, y la amenaza de que el precio subirá o tus datos serán publicados si no pagas.

Todo este proceso puede tardar minutos o semanas. Los grupos más sofisticados como LockBit, BlackCat (ALPHV) o Cl0p suelen pasar días dentro de la red antes de lanzar el cifrado, exfiltrando datos primero para tener doble palanca de extorsión.

Tipos de ransomware: no todos secuestran igual

No todo el software de secuestro de archivos funciona de la misma manera. Conocer las variantes te ayuda a entender el nivel de amenaza:

TipoCómo actúaEjemplo real
Crypto-ransomwareCifra archivos individuales. El sistema funciona, pero tus datos son inaccesibles.WannaCry (2017), LockBit 3.0
Locker ransomwareBloquea el acceso completo al sistema operativo.Reveton, WinLocker
Doble extorsiónCifra Y roba datos. Si no pagas, los publica en la dark web.Maze, REvil, BlackCat
Triple extorsiónAdemás de lo anterior, amenaza a clientes y socios de la víctima.Cl0p (ataque MOVEit, 2023)
RaaS (Ransomware as a Service)Modelo de negocio: los desarrolladores alquilan su ransomware a afiliados.LockBit, Hive, BlackBasta

El modelo RaaS es especialmente preocupante. Cualquier ciberdelincuente con ambición pero sin conocimientos técnicos puede alquilar una plataforma de ransomware completa —panel de control, generador de payloads, soporte técnico incluido— a cambio de un porcentaje del rescate. Según el FBI, LockBit ha recaudado más de 91 millones de dólares solo en Estados Unidos desde 2020. Democratizar el crimen nunca fue tan literal.

Casos reales que cambiaron las reglas del juego

La historia del ransomware está plagada de incidentes que deberían quitarle el sueño a cualquier responsable de IT:

  • WannaCry (mayo 2017): Explotó la vulnerabilidad EternalBlue (CVE-2017-0144) en Windows SMB, filtrada de la NSA. Infectó más de 200.000 equipos en 150 países en un solo fin de semana. El NHS británico quedó paralizado. Coste estimado: 4.000 millones de dólares. La vacuna fue un kill switch descubierto por accidente por el investigador Marcus Hutchins.
  • NotPetya (junio 2017): Disfrazado de ransomware pero en realidad era un wiper destructivo atribuido a inteligencia militar rusa. Usó el mismo EternalBlue más la cadena de suministro de un software contable ucraniano. Maersk perdió 300 millones de dólares. En total, más de 10.000 millones en daños globales.
  • Colonial Pipeline (mayo 2021): El grupo DarkSide paralizó el mayor oleoducto de la costa este de EE.UU. con un ataque de cifrado malicioso. Pagaron 4,4 millones en Bitcoin (el FBI recuperó parte después). Provocó escasez de gasolina y una orden ejecutiva de ciberseguridad de Biden.
  • Ataque a hospitales españoles (2020-2023): El Hospital Clínic de Barcelona sufrió un ataque de RansomHouse en marzo de 2023 que paralizó urgencias, laboratorios y farmacia durante semanas. Se filtraron 4,5 TB de datos de pacientes.

Estos casos demuestran que el rescate ransomware no es solo un problema económico: afecta infraestructuras críticas, la salud pública y la seguridad nacional. Y si crees que solo ataca a grandes empresas, el informe de Datto muestra que el 85% de los ataques de ransomware en 2023 fueron contra pymes. Nadie es demasiado pequeño para ser víctima.

Cómo protegerte del ransomware: defensa en capas

Aquí es donde dejamos el drama y pasamos a lo práctico. Contra el secuestro digital de archivos no hay bala de plata, pero sí una estrategia de defensa sólida basada en capas:

Prevención: que no entre

  • Actualizaciones al día: El 60% de las brechas explotan vulnerabilidades con parche disponible. Actualiza sistemas operativos, firmware y aplicaciones. Sí, también ese Java que llevas ignorando tres años.
  • Email seguro: Filtra adjuntos peligrosos (.exe, .js, macros Office). Un buen filtro antispam con IA —como el que hacemos en MataSpam— detiene la mayoría de intentos de phishing antes de que lleguen a tu bandeja.
  • Autenticación robusta: Activa la verificación en dos pasos en todas tus cuentas. Esto complica enormemente el acceso inicial al atacante, especialmente en servicios de acceso remoto como RDP o VPN.
  • Segmentación de red: Si el ransomware entra en un equipo, que no pueda saltar a toda la red. VLANs, firewalls internos y principio de mínimo privilegio.
  • Dispositivos externos: Ten cuidado con lo que conectas. Ya hablamos de los riesgos de conectar pendrives desconocidos y cómo pueden inyectar malware en cuestión de segundos.

Detección: que no pase desapercibido

  • EDR/XDR: Soluciones como CrowdStrike Falcon, Microsoft Defender for Endpoint o SentinelOne detectan comportamientos sospechosos (cifrado masivo de archivos, eliminación de backups) y pueden bloquear el proceso en tiempo real.
  • Monitorización de red: Herramientas como Zeek o Suricata detectan tráfico anómalo (comunicaciones con servidores C2, exfiltración de datos).
  • Análisis de muestras: Si sospechas de un archivo, súbelo a VirusTotal antes de ejecutarlo. Si ya estás infectado, herramientas como ID Ransomware (id-ransomware.malwarehunterteam.com) pueden identificar la cepa.

Recuperación: el plan B que necesitas

  • Backups 3-2-1: Tres copias, dos soportes diferentes, una fuera de línea (offline/air-gapped). Si tu backup está conectado a la red, el ransomware también lo cifrará. Esto no es opcional, es supervivencia digital.
  • Prueba tus backups: Un backup que no has probado restaurar no es un backup, es una esperanza. Haz simulacros de recuperación trimestrales.
  • Plan de respuesta a incidentes: Documenta quién hace qué cuando suena la alarma. INCIBE (el CERT nacional español) tiene guías excelentes y una línea de ayuda en el 017.

Y si gestionas dispositivos IoT en casa o en la oficina, recuerda que también son vectores de entrada. Los dispositivos de domótica mal configurados pueden ser la puerta trasera que un atacante necesita para acceder a tu red.

¿Pagar o no pagar el rescate?

La pregunta del millón —literalmente, porque el rescate ransomware medio en 2024 fue de 2,73 millones de dólares según Sophos—. La respuesta oficial de Europol, el FBI y el INCIBE es clara: no pagues. Las razones:

  • Pagar no garantiza recuperar tus datos. Según Veeam, el 21% de las organizaciones que pagaron nunca recibieron la clave de descifrado.
  • Financias al cibercrimen organizado y te conviertes en objetivo recurrente.
  • En algunos casos, pagar a grupos sancionados (como los vinculados a Corea del Norte) puede tener implicaciones legales bajo la normativa OFAC de EE.UU. o las sanciones de la UE.

Dicho esto, en la vida real la decisión es más gris. Si tu hospital tiene pacientes en riesgo o tu empresa va a cerrar, la presión es enorme. Por eso la prevención y los backups no son un lujo: son lo que te da la libertad de decir "no" cuando el atacante llama a tu puerta.

Antes de llegar a ese punto, merece la pena verificar si existe un descifrador gratuito en el proyecto No More Ransom (nomoreransom.org), una iniciativa de Europol y empresas de ciberseguridad que ha ahorrado más de 1.500 millones de euros a víctimas desde 2016.

Preguntas frecuentes

¿Puede un antivirus detener el ransomware?

Un antivirus tradicional basado en firmas puede detectar cepas conocidas, pero no variantes nuevas. Las soluciones modernas de tipo EDR (Endpoint Detection and Response) son mucho más efectivas porque analizan comportamientos —como el cifrado masivo de archivos— en lugar de buscar firmas estáticas. Combínalas con un buen filtro de email y sentido común.

¿Qué hago si mi ordenador se infecta con ransomware?

Desconéctalo inmediatamente de la red (cable y WiFi) para evitar la propagación. No apagues el equipo (la RAM puede contener claves útiles para forenses). Contacta con el INCIBE (017) o un equipo de respuesta a incidentes. Identifica la cepa en ID Ransomware y comprueba si hay descifrador en nomoreransom.org antes de considerar cualquier pago.

¿El ransomware solo afecta a Windows?

No. Aunque Windows es el objetivo principal por su cuota de mercado, existen variantes para Linux (como ESXiArgs, que atacó miles de servidores VMware en 2023), macOS y sistemas Android. Los servidores NAS y dispositivos IoT también son objetivos frecuentes. Ningún sistema operativo es inmune; si te interesa proteger servidores, echa un vistazo a nuestras recomendaciones de hardening básico para Linux.

¿Cuánto piden de rescate normalmente?

Varía enormemente. A particulares y pymes les piden entre 500 y 50.000 euros. A grandes empresas y organismos públicos, desde cientos de miles hasta decenas de millones. Colonial Pipeline pagó 4,4 millones de dólares. El grupo Cl0p llegó a pedir 75 millones a una sola víctima en 2024. Los atacantes suelen investigar la facturación de la empresa para calibrar el rescate.

¿Las copias de seguridad en la nube están a salvo del ransomware?

Depende. Si tu servicio de nube sincroniza automáticamente (como Google Drive o OneDrive), el ransomware cifrará los archivos locales y la sincronización subirá las versiones cifradas. La clave es usar servicios con versionado (que permitan restaurar versiones anteriores) y mantener al menos una copia offline o en un servicio de backup dedicado con inmutabilidad, como Backblaze B2 o AWS S3 con Object Lock.

El ransomware no va a desaparecer. De hecho, con la irrupción de la inteligencia artificial generativa, los ataques son cada vez más sofisticados y personalizados. Pero la buena noticia es que la mayoría de infecciones se pueden prevenir con higiene digital básica: actualizaciones, backups, autenticación fuerte y un filtro de email decente que pare la basura antes de que llegue. Desde MataSpam llevamos años luchando contra el correo malicioso, y si algo hemos aprendido es que el eslabón más fuerte de la cadena eres tú cuando estás bien informado. Sigue explorando nuestro blog para convertirte en ese eslabón que ningún ciberdelincuente quiere encontrarse.

ransomware qué es ransomware secuestro archivos cifrado malicioso rescate ransomware
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Backdoors: puertas traseras que permiten el acceso remoto a tu sistema
Malware y Virus

Backdoors: puertas traseras que permiten el acceso remoto a tu sistema

Cryptominers: cuando tu ordenador mina criptomonedas sin tu permiso
Malware y Virus

Cryptominers: cuando tu ordenador mina criptomonedas sin tu permiso

Adware: por qué te aparece publicidad invasiva y cómo eliminarla
Malware y Virus

Adware: por qué te aparece publicidad invasiva y cómo eliminarla

← Volver al blog