Ransomware: cómo funciona, casos reales y cómo proteger tu empresa

El ransomware se ha convertido en la amenaza de ciberseguridad más temida y destructiva de la última década. Este tipo de malware cifra los archivos de una víctima —ya sea un ordenador personal, un servidor corporativo o toda una red empresarial— y exige un rescate económico a cambio de la clave de descifrado. Lo que comenzó como ataques oportunistas con rescates de unos cientos de dólares se ha transformado en una industria criminal multimillonaria que paraliza hospitales, gobiernos, infraestructuras críticas y empresas de todos los tamaños.

En este artículo analizamos en profundidad cómo funciona el ransomware, cuáles son los grupos más activos en 2026, qué hacer si tu empresa es víctima de un ataque, y —lo más importante— cómo protegerte para que nunca tengas que enfrentarte a esa situación. Forma parte de nuestra serie sobre la historia del hacking y la ciberseguridad, donde exploramos cómo las amenazas digitales han evolucionado hasta convertirse en un riesgo existencial para las organizaciones.

Anatomía de un ataque de ransomware

Un ataque de ransomware moderno no es un evento único sino un proceso que se desarrolla en múltiples fases, a menudo durante semanas o meses antes de que la víctima se dé cuenta de que algo va mal.

Fase 1: Acceso inicial. El atacante necesita un punto de entrada en la red de la víctima. Los vectores más comunes son el correo electrónico de phishing con adjuntos maliciosos o enlaces a sitios comprometidos, la explotación de vulnerabilidades en servicios expuestos a internet (especialmente VPNs, RDP y servidores de correo), credenciales robadas o compradas en mercados de la dark web, y ataques a la cadena de suministro a través de proveedores de software comprometidos.

Fase 2: Reconocimiento y movimiento lateral. Una vez dentro, el atacante explora la red de la víctima para entender su estructura, identificar los sistemas más valiosos y obtener credenciales con mayores privilegios. Utiliza herramientas como Cobalt Strike, Mimikatz o BloodHound para mapear Active Directory, escalar privilegios y moverse lateralmente entre sistemas. Esta fase puede durar días o semanas, durante los cuales el atacante opera de forma sigilosa, evitando la detección.

Fase 3: Exfiltración de datos. Los grupos de ransomware modernos practican la doble extorsión: antes de cifrar los datos, los copian a servidores controlados por el atacante. Esto les permite amenazar con publicar información confidencial si la víctima no paga, incluso si tiene copias de seguridad funcionales. Algunos grupos practican la triple extorsión, contactando directamente a los clientes o socios de la víctima para presionar adicionalmente.

Fase 4: Despliegue del ransomware. Cuando el atacante ha obtenido acceso a suficientes sistemas y ha exfiltrado los datos que considera valiosos, despliega el ransomware de forma coordinada en toda la red. El cifrado se ejecuta típicamente fuera de horario laboral —noches, fines de semana, festivos— para maximizar el impacto antes de que alguien pueda reaccionar. Los algoritmos de cifrado utilizados (AES-256 combinado con RSA-2048, por ejemplo) son matemáticamente imposibles de romper sin la clave.

Fase 5: Extorsión. Una nota de rescate aparece en todos los sistemas cifrados, indicando a la víctima cómo contactar al grupo atacante y cómo realizar el pago, generalmente en Bitcoin o Monero. Los rescates varían enormemente según el tamaño de la víctima: desde unos pocos miles de euros para pequeñas empresas hasta decenas de millones para grandes corporaciones. La negociación puede durar días o semanas.

La industria del ransomware: RaaS y la profesionalización del crimen

Uno de los desarrollos más alarmantes de los últimos años es la aparición del modelo Ransomware-as-a-Service (RaaS). Al igual que una empresa de software ofrece su producto como servicio (SaaS), los grupos de ransomware más sofisticados ofrecen su infraestructura, herramientas y servicios de soporte a «afiliados» que ejecutan los ataques a cambio de un porcentaje del rescate, típicamente entre el 20% y el 40%.

Este modelo ha democratizado el acceso al ransomware, permitiendo que atacantes con habilidades técnicas limitadas lancen ataques devastadores utilizando herramientas proporcionadas por profesionales. Los principales operadores RaaS funcionan como verdaderas empresas: tienen departamentos de desarrollo, equipos de soporte técnico, programas de afiliados con paneles de control, e incluso servicio de atención al «cliente» (es decir, la víctima) para guiarla en el proceso de pago.

Los grupos de ransomware más notorios de los últimos años incluyen LockBit (que ha dominado el panorama del ransomware durante varios años), BlackCat/ALPHV (que operaba con ransomware escrito en Rust para mayor eficiencia y evasión), Cl0p (especializado en explotar vulnerabilidades masivas como la de MOVEit), Royal/BlackSuit y Akira. Aunque las fuerzas de seguridad han logrado desarticular algunos de estos grupos, el modelo RaaS garantiza que nuevos operadores aparezcan constantemente para reemplazar a los caídos.

Casos que marcaron una era

El ransomware ha producido algunos de los ciberataques más devastadores de la historia reciente. WannaCry (2017) fue quizás el más impactante por su alcance global: aprovechando una vulnerabilidad de Windows filtrada de la NSA, infectó más de 200.000 ordenadores en 150 países en cuestión de horas. El Servicio Nacional de Salud (NHS) del Reino Unido fue particularmente afectado, con hospitales que tuvieron que cancelar operaciones y redirigir ambulancias.

NotPetya (2017), aunque disfrazado de ransomware, fue en realidad un ataque destructivo atribuido a la inteligencia militar rusa contra Ucrania que se descontroló y se extendió globalmente. Maersk, la mayor naviera del mundo, perdió 300 millones de dólares. FedEx perdió 400 millones. Merck perdió 870 millones. El daño total se estimó en más de 10.000 millones de dólares, convirtiendo a NotPetya en el ciberataque más costoso de la historia.

En España, el ataque al Hospital Clínic de Barcelona en marzo de 2023 por el grupo RansomHouse puso en evidencia la vulnerabilidad del sistema sanitario público. Se cancelaron miles de citas y operaciones, se robaron datos de pacientes y se publicaron en la dark web. El caso del Clínic es un recordatorio brutal de que los ciberataques no son solo un problema tecnológico o económico: pueden poner vidas en riesgo.

¿Pagar o no pagar? El dilema del rescate

La pregunta más difícil para cualquier víctima de ransomware es si debe pagar el rescate. No hay una respuesta universal, y la decisión depende de múltiples factores, pero es importante entender las implicaciones de cada opción.

Argumentos para no pagar: Pagar no garantiza que recibirás la clave de descifrado —los atacantes son criminales y no hay contrato que les obligue a cumplir—. Pagar financia la industria criminal y motiva futuros ataques. En algunos casos, pagar puede tener implicaciones legales, especialmente si el grupo atacante está sujeto a sanciones internacionales (como algunos grupos vinculados a Corea del Norte o Rusia). Además, empresas que pagan son frecuentemente atacadas de nuevo porque se sabe que están dispuestas a pagar.

Argumentos para pagar: Si no tienes copias de seguridad funcionales y los datos son críticos para la supervivencia de la empresa, pagar puede ser la única opción viable. El coste del rescate puede ser inferior al coste de reconstruir los sistemas desde cero y perder semanas o meses de productividad. En algunos sectores regulados, la pérdida de datos puede acarrear sanciones mayores que el coste del rescate.

Las autoridades de ciberseguridad, incluyendo INCIBE en España, el FBI en Estados Unidos y la NCA en Reino Unido, recomiendan uniformemente no pagar. Sin embargo, reconocen que es una decisión empresarial que cada organización debe tomar en función de sus circunstancias específicas. Lo que sí es universal es que la mejor estrategia es estar preparado para no tener que tomar esa decisión.

Cómo proteger tu empresa contra el ransomware

La protección contra el ransomware requiere un enfoque multicapa que combine prevención, detección y capacidad de recuperación.

Copias de seguridad robustas: Es la medida más importante. Implementa la regla 3-2-1: tres copias de los datos, en dos tipos de soporte diferentes, con una copia fuera del sitio. Las copias deben ser inmutables (que no puedan ser modificadas ni borradas por el ransomware) y deben probarse regularmente para verificar que son funcionales. Las soluciones de backup en la nube con versionado y protección contra eliminación son particularmente recomendables.

Gestión de parches: Mantener todo el software actualizado, especialmente los sistemas expuestos a internet: VPNs, servidores de correo, firewalls, y cualquier servicio accesible desde el exterior. Los atacantes explotan vulnerabilidades conocidas con rapidez —a menudo dentro de las 24-48 horas siguientes a la publicación de un parche—, por lo que la velocidad de actualización es crítica.

Segmentación de red: Dividir la red en segmentos aislados limita la capacidad del ransomware de propagarse lateralmente. Si un segmento se compromete, los demás permanecen protegidos. Esto es especialmente importante para proteger los sistemas de backup, que deben estar aislados de la red principal.

Formación anti-phishing: El phishing sigue siendo el vector de entrada más común. Programas de concienciación que incluyan simulaciones de phishing regulares, formación sobre cómo identificar correos sospechosos, y procedimientos claros para reportar intentos de phishing reducen significativamente el riesgo. Como demostró Kevin Mitnick, el factor humano es siempre el eslabón más débil.

Protección de endpoints: Soluciones de EDR (Endpoint Detection and Response) como Microsoft Defender for Endpoint, CrowdStrike o SentinelOne proporcionan detección avanzada de comportamiento malicioso que puede identificar y bloquear ransomware antes de que se ejecute. Para presupuestos limitados, Windows Defender con las reglas de reducción de superficie de ataque (ASR) activadas ofrece un nivel de protección sorprendentemente bueno.

Autenticación multifactor (MFA): Implementar MFA en todos los accesos remotos (VPN, RDP, correo web, paneles de administración) elimina la posibilidad de que credenciales robadas se utilicen para obtener acceso inicial.

Plan de respuesta ante un ataque de ransomware

Tener un plan de respuesta documentado y practicado antes de que se produzca un ataque puede marcar la diferencia entre una recuperación rápida y una catástrofe prolongada. Un plan básico debe incluir los siguientes elementos.

Detección y contención: Aislar inmediatamente los sistemas afectados de la red para prevenir la propagación. No apagar los equipos (pueden contener claves de cifrado en memoria). Documentar todo: capturas de pantalla de las notas de rescate, archivos cifrados, logs del sistema.

Evaluación del impacto: Determinar qué sistemas están afectados, qué datos han sido cifrados, si ha habido exfiltración de datos, y si las copias de seguridad están intactas. Esta evaluación guiará las decisiones posteriores.

Notificación: Bajo el RGPD, si se han comprometido datos personales, la empresa tiene 72 horas para notificar a la autoridad de protección de datos (AEPD en España). Los afectados deben ser notificados si el compromiso supone un alto riesgo para sus derechos. También es recomendable notificar a INCIBE y, si procede, denunciar ante las fuerzas de seguridad.

Recuperación: Si las copias de seguridad están intactas, proceder a la restauración después de asegurar que el vector de entrada ha sido eliminado. Si no hay backups, evaluar las opciones disponibles incluyendo herramientas de descifrado gratuitas (NoMoreRansom.org publica descifradores para algunos ransomware cuando se obtienen las claves).

Análisis post-incidente: Una vez resuelto el incidente, realizar un análisis detallado para identificar cómo se produjo el ataque, qué controles fallaron, y qué medidas deben implementarse para prevenir recurrencias.

El futuro del ransomware

El ransomware seguirá evolucionando en los próximos años. Las tendencias más preocupantes incluyen el uso de inteligencia artificial para automatizar el reconocimiento de redes, personalizar ataques de phishing y evadir defensas, los ataques a infraestructuras críticas (energía, agua, transporte, sanidad) con potencial de causar daños físicos, la explotación de dispositivos IoT como vector de entrada y objetivo de cifrado, y la convergencia entre ransomware y ciberguerra, donde estados-nación utilizan técnicas de ransomware para operaciones de sabotaje disfrazadas de crimen.

En este contexto, la inversión en ciberseguridad no es un gasto sino una necesidad empresarial. Un servicio de auditoría de seguridad y pentesting puede identificar las vulnerabilidades que un atacante explotaría para desplegar ransomware. Un servicio de mantenimiento web continuo garantiza que los parches se apliquen a tiempo y las copias de seguridad funcionen. Y una estrategia de seguridad adaptada al presupuesto demuestra que la protección efectiva no requiere una inversión desmesurada.