Login Probar gratis
¿Pagar el rescate del ransomware o no? Argumentos a favor y en contra

¿Pagar el rescate del ransomware o no? Argumentos a favor y en contra

por MataSpam Malware y Virus

Pagar el rescate del ransomware es una de las decisiones más complicadas que puede enfrentar una empresa o un particular tras un ataque. No hay respuesta universal. Depende del contexto, del tipo de datos secuestrados, de si tienes copias de seguridad y de cuánto te aprieta el reloj. Lo que sí sabemos es que negociar con ransomware no es como regatear en un mercadillo: al otro lado hay organizaciones criminales con departamento de "atención al cliente" y estructuras que facturan más que muchas pymes. Este artículo desmonta los argumentos a favor y en contra de pagar ransomware, analiza qué opciones reales existen para recuperar archivos ransomware sin soltar un céntimo, y te da criterios para tomar una decisión informada si algún día te toca vivirlo.

Cómo funciona el chantaje: anatomía de un ataque ransomware

El ransomware cifra tus archivos con algoritmos robustos (AES-256, RSA-2048) y te exige un pago —habitualmente en Bitcoin o Monero— a cambio de la clave de descifrado. Grupos como LockBit, BlackCat (ALPHV) o Cl0p han perfeccionado el modelo hasta convertirlo en un negocio con franquicias, afiliados y hasta portales de negociación con chat en vivo.

Desde 2020, la táctica dominante es la doble extorsión: además de cifrar, exfiltran datos y amenazan con publicarlos. Algunos grupos han añadido una tercera capa: lanzar ataques DDoS contra la víctima mientras negocia. El ataque a Colonial Pipeline en 2021 (pagaron 4,4 millones de dólares al grupo DarkSide) o el de Medibank en Australia en 2022 son ejemplos reales de cómo esta presión funciona.

Si notas comportamientos extraños en tu equipo —archivos con extensiones raras, rendimiento anómalo— conviene que revises las señales de alerta que indican que tu ordenador tiene malware antes de que sea tarde.

Argumentos a favor de pagar el rescate

Nadie quiere pagar. Pero hay situaciones donde la alternativa es peor. Veamos los argumentos que manejan quienes acaban cediendo.

Datos críticos sin backup viable

Si no tienes copias de seguridad actualizadas y los datos cifrados son vitales para la supervivencia del negocio —historiales médicos, datos financieros, propiedad intelectual—, el coste del rescate puede ser inferior al coste de perderlo todo. Según el informe Sophos State of Ransomware 2023, el coste medio de recuperación sin pagar rondaba los 1,82 millones de dólares, mientras que pagando se quedaba en aproximadamente 750.000 dólares (incluyendo el rescate).

Presión temporal insostenible

Hospitales, infraestructuras críticas, empresas con plazos legales. Cuando cada hora de inactividad tiene consecuencias directas sobre personas o sobre contratos millonarios, la presión para pagar ransomware se vuelve enorme. El Hospital Universitario de Düsseldorf sufrió un ataque en 2020 que obligó a desviar pacientes de urgencias. El tiempo no era un lujo.

Los atacantes "cumplen" (a veces)

Suena contraintuitivo, pero los grupos de ransomware tienen incentivos económicos para entregar la clave tras el pago. Si se corre la voz de que pagar no sirve de nada, nadie paga. Según datos de Coveware, en torno al 70% de las víctimas que pagaron en 2022 recibieron una herramienta de descifrado funcional. Ojo: funcional no significa rápida ni perfecta.

Argumentos en contra de pagar el rescate

Ahora la otra cara. Y pesa bastante más de lo que parece a primera vista.

Financias al crimen organizado

Cada pago alimenta la máquina. Los ingresos por ransomware superaron los 1.100 millones de dólares en 2023 según Chainalysis, un récord histórico. Ese dinero financia nuevos ataques, desarrollo de malware más sofisticado y, en algunos casos, actividades de estados hostiles. Pagar un rescate ransomware convierte a la víctima en inversor involuntario del siguiente ataque.

No garantiza la recuperación completa

Aunque recibas el descifrador, la recuperación suele ser parcial. Las herramientas de descifrado proporcionadas por los atacantes son lentas, fallan con archivos grandes y a veces corrompen datos. Según el mismo informe de Sophos, solo un 8% de las organizaciones que pagaron recuperaron el 100% de sus datos.

Te marca como objetivo repetible

Si pagas una vez, ¿por qué no vas a pagar dos? Aproximadamente un tercio de las empresas que pagan sufren un segundo ataque en los 12 meses siguientes, según estimaciones de Cybereason. Los atacantes comparten listas de víctimas que pagan.

Implicaciones legales crecientes

La OFAC (Oficina de Control de Activos Extranjeros de EE.UU.) puede sancionar a quien pague rescates a grupos vinculados a países bajo embargo. En la UE, el marco regulatorio aprieta: la Directiva NIS2, vigente desde octubre de 2024, exige a las entidades esenciales reportar incidentes en 24 horas y puede imponer multas si la gestión del incidente fue negligente. Australia, por su parte, aprobó la Cyber Security Act 2024 que obliga a notificar cualquier pago de rescate al gobierno, endureciendo la presión contra quienes opten por pagar.

Alternativas reales antes de plantearte pagar

Antes de abrir la cartera de Bitcoin, agota estas vías. Algunas funcionan mejor de lo que crees.

  • No More Ransom (nomoreransom.org): proyecto de Europol, Kaspersky, McAfee y policías de medio mundo. Tiene descifradores gratuitos para cientos de variantes de ransomware. Sube una muestra del archivo cifrado y la nota de rescate: puede que tengas suerte.
  • Backups offline: si tienes copias de seguridad desconectadas de la red (y las has probado), restaura desde ahí. El ransomware moderno busca y destruye backups accesibles, así que solo sirven los que estaban aislados.
  • Shadow copies y puntos de restauración: algunos ransomware menos sofisticados no eliminan las Volume Shadow Copies de Windows. Herramientas como ShadowExplorer pueden rescatar versiones anteriores.
  • Negociación para ganar tiempo: aunque no vayas a pagar, abrir el canal de comunicación con los atacantes puede darte días extra mientras trabajas en la recuperación. Los grupos suelen tener "plazos" flexibles si ven interlocución.
  • Empresas especializadas en respuesta a incidentes: firmas como CrowdStrike, Mandiant (Google) o INCIBE-CERT en España pueden ayudar con la contención y, a veces, encontrar fallos en el cifrado.

Si el vector de entrada fue un correo de phishing —como ocurre en la mayoría de casos—, conviene entender las diferencias entre pharming y phishing para blindar ese flanco de cara al futuro.

Tabla comparativa: pagar vs. no pagar

FactorPagar el rescateNo pagar el rescate
Recuperación de datosProbable pero parcial (media del 65%)Depende de backups y herramientas disponibles
Tiempo de recuperaciónDías a semanas (descifrado lento)Horas si hay backup; semanas/meses si no
Coste directoRescate + recuperación + remediaciónRecuperación + remediación + posible pérdida de datos
Riesgo legalPosibles sanciones OFAC, problemas con NIS2Mínimo si se reporta correctamente
Riesgo de reincidenciaAlto (te marcan como pagador)Bajo si corriges vulnerabilidades
Impacto reputacionalNegativo si se filtra que pagasteNeutro o positivo si comunicas bien

Qué hacer en las primeras 24 horas tras un ataque

  1. Aísla los equipos afectados de la red. Desconecta cables, desactiva Wi-Fi. No apagues: podrías perder evidencia forense en memoria RAM.
  2. Identifica la variante. Sube la nota de rescate y un archivo cifrado a ID Ransomware (id-ransomware.malwarehunterteam.com) o a No More Ransom.
  3. Notifica a las autoridades. En España: INCIBE (017), Policía Nacional (Brigada de Investigación Tecnológica) o Guardia Civil (GDT). Si manejas datos personales, tienes 72 horas para notificar a la AEPD según el RGPD. Si quieres saber cómo se denuncia, el proceso es similar al de denunciar phishing.
  4. Evalúa tus backups. ¿Existen? ¿Son recientes? ¿Están limpios? Verifica antes de restaurar: algunos ransomware llevan semanas latentes antes de activarse.
  5. Documenta todo. Capturas de pantalla, logs, notas de rescate, hashes de los archivos cifrados. Esto sirve para la investigación policial y para tu aseguradora, si tienes ciberseguro.

La protección proactiva marca la diferencia. Un sistema de monitorización y unas herramientas de seguridad bien configuradas reducen drásticamente las probabilidades de acabar en esta situación.

Preguntas frecuentes

¿Es ilegal pagar un rescate de ransomware en España?

No existe una prohibición explícita en la legislación española. Sin embargo, si el pago acaba en manos de una organización sancionada internacionalmente, podrías enfrentarte a consecuencias legales por financiación de actividades delictivas. El Código Penal (art. 301) contempla el blanqueo de capitales, y un pago a sabiendas a un grupo criminal podría encajar. Consulta con un abogado antes de transferir nada.

¿Cuánto suelen pedir los atacantes como rescate?

Varía enormemente. Para particulares, las cifras se mueven entre 200 y 2.000 euros. Para pymes, entre 10.000 y 250.000 euros. Para grandes empresas e infraestructuras críticas, los rescates superan el millón con facilidad. Los grupos más organizados investigan la facturación de la víctima antes de fijar la cifra, así que el precio está "personalizado".

¿Puedo recuperar archivos cifrados por ransomware sin pagar?

Depende de la variante. El proyecto No More Ransom tiene descifradores para más de 170 familias de ransomware. Si la variante que te ha tocado no está cubierta, tus opciones son backups, shadow copies o esperar a que las fuerzas de seguridad decomisen los servidores del grupo (como pasó con Hive en enero de 2023, cuyas claves se liberaron). Guarda los archivos cifrados: quizá en el futuro aparezca un descifrador.

¿Mi ciberseguro cubre el pago de rescates?

Algunas pólizas lo cubren, pero la tendencia del sector asegurador es restringirlo. AXA dejó de cubrir pagos de ransomware en Francia en 2021. Otras aseguradoras exigen requisitos mínimos de seguridad (MFA, backups verificados, segmentación de red) para activar la cobertura. Lee la letra pequeña antes de que la necesites.

El siguiente paso

Comprueba ahora mismo que tienes un backup offline reciente de tus datos críticos. No mañana, no la semana que viene: ahora. Desconecta un disco externo de la red, copia lo que no puedas permitirte perder y guárdalo fuera de tu infraestructura habitual. Si ese backup existe y funciona, la pregunta de si pagar o no pagar el ransomware deja de ser existencial para convertirse en una molestia gestionable. Y si quieres reducir la superficie de ataque por donde suelen colarse estos bichos, empieza por el correo electrónico: el 80% de los ataques de ransomware comienzan con un email.

pagar ransomware rescate ransomware negociar ransomware no pagar ransomware recuperar archivos ransomware
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Wiper malware: programas diseñados para destruir datos sin posibilidad de recuperación
Malware y Virus

Wiper malware: programas diseñados para destruir datos sin posibilidad de recuperación

Gusanos informáticos: cómo se propagan sin que hagas nada
Malware y Virus

Gusanos informáticos: cómo se propagan sin que hagas nada

Keyloggers: cómo registran todo lo que tecleas para robar tus contraseñas
Malware y Virus

Keyloggers: cómo registran todo lo que tecleas para robar tus contraseñas

← Volver al blog