Ransomware as a Service (RaaS) es un modelo de negocio criminal en el que desarrolladores de malware alquilan sus herramientas de cifrado a otros delincuentes sin conocimientos técnicos. Funciona exactamente igual que un SaaS legítimo: suscripción mensual, panel de control, soporte técnico y hasta programa de afiliados. El negocio ransomware ha dejado de ser cosa de hackers solitarios para convertirse en cibercrimen organizado con estructura empresarial. Cualquiera con unos cientos de dólares y ganas de delinquir puede contratar un servicio de ransomware de alquiler, lanzar campañas de extorsión y cobrar rescates en criptomonedas. Y sí, ofrecen descuentos por volumen.
Cómo funciona el modelo RaaS por dentro
El esquema es tan profesional que asusta. Un grupo de desarrolladores crea el ransomware, lo empaqueta con un panel de administración y lo pone a disposición de «afiliados» —los que ejecutan los ataques—. El desarrollador se lleva entre un 20% y un 40% de cada rescate cobrado. El afiliado se queda con el resto.
Los modelos de monetización varían. Algunos operan con suscripción mensual fija (entre 40 y 500 dólares según estimaciones de 2024-2025). Otros funcionan con comisión por rescate. Los más sofisticados combinan ambas fórmulas. LockBit, uno de los grupos RaaS más prolíficos hasta su desmantelamiento parcial por la Operation Cronos de Europol en febrero de 2024, llegó a tener más de 100 afiliados activos simultáneamente.
El afiliado recibe acceso a un panel donde puede personalizar el ransomware: elegir la extensión de los archivos cifrados, redactar la nota de rescate, fijar el precio y configurar el temporizador de cuenta atrás. Algunos paneles incluyen chat en vivo para «negociar» con las víctimas. Si has leído sobre cómo funciona la doble extorsión ransomware, sabrás que además del cifrado, amenazan con publicar los datos robados. Esa funcionalidad también viene integrada en el paquete RaaS.
Los grupos RaaS más conocidos y su historial
No hablamos de operaciones marginales. Estos grupos mueven cifras millonarias y han paralizado hospitales, ayuntamientos y empresas del Fortune 500.
| Grupo | Período activo | Modelo | Ataques destacados |
|---|---|---|---|
| LockBit | 2019-2024 | Comisión 20% | Royal Mail (UK), Boeing, banco ICBC |
| BlackCat/ALPHV | 2021-2024 | Comisión 10-20% | Reddit, Change Healthcare |
| Conti | 2020-2022 | Salario + comisión | Costa Rica (gobierno), HSE Ireland |
| REvil/Sodinokibi | 2019-2022 | Comisión 20-30% | Kaseya, JBS Foods |
| Hive | 2021-2023 | Comisión 20% | Más de 1.500 víctimas antes de su desmantelamiento por el FBI |
El caso de Conti fue revelador. Tras la filtración de sus chats internos en 2022, se descubrió que operaban como una empresa real: departamento de RRHH, equipos de desarrollo, testers de malware y hasta un equipo de «negociadores» entrenados para exprimir a las víctimas. Tenían nóminas mensuales. Pagaban bonus por productividad.
Cómo llega el RaaS a sus víctimas
El ransomware de alquiler necesita un vector de entrada, y ahí es donde los afiliados se ganan su comisión. Las vías más habituales son tres: phishing por correo electrónico, explotación de vulnerabilidades conocidas y credenciales robadas compradas en mercados negros.
El phishing sigue siendo el rey. Un correo bien diseñado que simula ser una factura, una notificación de envío o un aviso de recursos humanos. El usuario abre el adjunto, ejecuta la macro y el ransomware se despliega. Si quieres aprender a identificar estos señuelos, revisa las señales que delatan una URL de phishing.
Las vulnerabilidades sin parchear son la segunda vía preferida. Los afiliados de RaaS monitorizan la publicación de CVEs críticos y lanzan ataques masivos antes de que las organizaciones actualicen. CVE-2023-4966 (Citrix Bleed) y CVE-2024-1709 (ConnectWise ScreenConnect) fueron explotados por grupos RaaS a las pocas horas de hacerse públicos.
La tercera vía son las credenciales. Los Initial Access Brokers (IABs) venden accesos a redes corporativas en foros de la dark web. Precios entre 500 y 10.000 dólares según el tamaño de la empresa. El afiliado compra el acceso, despliega el ransomware y cobra un rescate cien veces mayor. Negocio redondo. Los kits de ataque automatizados que usan estos grupos incluyen módulos específicos para automatizar el movimiento lateral una vez dentro de la red.
Protección real contra el ransomware as a service
Aquí va lo práctico. Protegerse contra el cibercrimen organizado del RaaS requiere capas de defensa. No existe una solución mágica, pero sí medidas que reducen drásticamente el riesgo.
- Backups inmutables y desconectados. La regla 3-2-1: tres copias, dos medios distintos, una fuera de línea. Si el ransomware cifra tus backups, no tienes backup. Algunos grupos RaaS buscan y eliminan copias de seguridad antes de cifrar.
- Parcheo agresivo. Los CVE explotados por afiliados RaaS suelen tener parche disponible semanas antes del ataque masivo. Prioriza las vulnerabilidades con puntuación CVSS superior a 8 en servicios expuestos a internet.
- Autenticación multifactor (MFA) en todo. VPN, correo, acceso remoto, panel de administración. Sin excepciones. Las credenciales robadas no sirven de nada si el segundo factor las bloquea.
- Segmentación de red. Si un afiliado compromete un equipo, que no pueda moverse lateralmente hasta el controlador de dominio. Microsegmentación y principio de mínimo privilegio.
- Filtrado de correo con IA. Aquí es donde herramientas como MataSpam marcan la diferencia: detectan los correos de phishing que sirven de vector de entrada al ransomware antes de que lleguen a la bandeja del usuario.
- Monitorización de endpoints (EDR). Soluciones como CrowdStrike Falcon, Microsoft Defender for Endpoint o SentinelOne detectan comportamientos de cifrado masivo y pueden aislar el equipo automáticamente.
Si tu empresa gestiona infraestructura web o aplicaciones, asegúrate de que los paneles de administración no están expuestos a internet sin MFA. Los afiliados RaaS escanean continuamente puertos como 3389 (RDP), 443 y 8443 buscando paneles accesibles.
Qué hacer si te han cifrado (y por qué no pagar)
El INCIBE y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) desaconsejan pagar el rescate. Los motivos son sólidos: pagar financia la siguiente campaña de ransomware de alquiler, no garantiza la recuperación de datos y te marca como objetivo repetible.
Primer paso: aislar los equipos afectados de la red. Desconectar el cable ethernet, desactivar WiFi. Segundo: identificar la variante de ransomware. Herramientas como ID Ransomware (id-ransomware.malwarehunterteam.com) permiten subir la nota de rescate y un archivo cifrado para determinar la cepa. Tercero: comprobar si existe descifrador gratuito en No More Ransom (nomoreransom.org), el proyecto colaborativo de Europol con empresas de ciberseguridad que ha ahorrado, según la propia Europol, más de mil millones de euros en rescates desde su lanzamiento en 2016.
Cuarto: denunciar ante las autoridades. En España, el INCIBE (017) y la Policía Nacional / Guardia Civil tienen unidades especializadas. El Reglamento General de Protección de Datos (RGPD) obliga a notificar a la AEPD en las 72 horas siguientes si hay datos personales afectados. No hacerlo puede salir más caro que el propio rescate.
Preguntas frecuentes
¿Cuánto cuesta contratar un servicio de Ransomware as a Service?
Los precios varían enormemente. Las suscripciones mensuales oscilan entre 40 y 500 dólares aproximadamente. Otros modelos cobran solo un porcentaje del rescate (entre el 10% y el 40%). Algunos grupos ofrecen «pruebas gratuitas» con funcionalidad limitada, imitando literalmente el modelo freemium de las startups legítimas.
¿Se puede rastrear a los responsables de un ataque RaaS?
Es difícil pero posible. Operaciones como Cronos (contra LockBit) o la infiltración del FBI en Hive demuestran que las fuerzas de seguridad pueden desmantelar estos grupos. El uso de criptomonedas, servidores en jurisdicciones no cooperantes y la estructura descentralizada complican la investigación, pero errores operativos de los afiliados han permitido detenciones significativas.
¿Qué diferencia hay entre ransomware y Ransomware as a Service?
El ransomware es el malware en sí. El RaaS es el modelo de distribución: un desarrollador crea el ransomware y lo alquila a terceros (afiliados) que ejecutan los ataques. La diferencia es la misma que hay entre fabricar un producto y franquiciar el negocio.
¿Mi empresa pequeña también puede ser objetivo de un ataque RaaS?
Sí. Los afiliados RaaS lanzan campañas masivas e indiscriminadas. Las pymes son objetivos frecuentes precisamente porque suelen tener menos defensas y más presión para pagar rápido. Los rescates a pequeñas empresas suelen ser menores (entre 5.000 y 50.000 dólares según estimaciones del sector), pero el volumen compensa.
El siguiente paso
Verifica ahora mismo que tus backups son recuperables. No que existen: que puedes restaurar datos desde ellos. Haz una prueba de restauración parcial esta semana. La mayoría de organizaciones descubren que sus backups no funcionan justo cuando más los necesitan —con los sistemas cifrados y un temporizador contando hacia atrás—. Treinta minutos de prueba hoy pueden ahorrarte semanas de desastre mañana.
