En 2025, el ransomware evolucionó significativamente más allá del simple cifrado de archivos. Si bien negar el acceso a sus datos mediante cifrado y exigencia de un pago de rescate por la clave de descifrado sigue siendo una táctica central, el ransomware actual hace mucho más. – Los atacantes cibernéticos ahora incorporan frecuentemente funcionalidades adicionales comorobo de datos. Esto significa que no solo bloquean sus archivos; también roban información confidencial. Esta doble amenaza genera una presión aun mayor para que las víctimas paguen el rescate, ya que no solo enfrentan la pérdida de datos sino también el riesgo de exposición pública de datos robados o su venta en la web oscura.
El ransomware se ha convertido rápidamente en el más prominente y tipo visible de malware. Los recientes ataques de ransomware han afectado la capacidad de los hospitales para brindar servicios cruciales, han paralizado los servicios públicos en las ciudades y han causado daños importantes a varias organizaciones.
¿Por qué están surgiendo los ataques de ransomware?
Ransomware reached record levels in 2025, with 7,960 victims listed on double‑extortion leak sites—a 53% increase year‑over‑year. Activity peaked in both Q1 and again in Q4, driven largely by mass‑exploitation campaigns, including Cl0p’s zero‑day attacks that compromised hundreds of organizations early in the year. The collapse of several major RaaS groups reshaped the ecosystem, enabling Qilin to surge ahead as the most active operator, publishing over 1,000 victims and tripling its monthly volume.
The United States accounted for roughly 52% of all disclosed victims, far exceeding other regions. Attacks remained centered on commercial sectors, particularly business services, consumer goods & services, and industrial manufacturing. Overall, the ecosystem continued to expand and reorganize, demonstrating increasing resilience and aggression despite global enforcement efforts.
Cómo funciona el ransomware
Para tener éxito, el ransomware debe obtener acceso a un sistema de destino, cifrar los archivos allí y exigir un rescate a la víctima.
Si bien los detalles de implementación varían de una variante de ransomware a otra, todos comparten las mismas tres etapas principales.
- Paso 1. Vectores de infección y distribución
El ransomware, como cualquier malware, puede acceder a los sistemas de una organización de diferentes formas. Sin embargo, los operadores de ransomware tienden a preferir algunos vectores de infección específicos.
Uno de ellos son los correos electrónicos de phishing. Un correo electrónico malicioso puede contener un enlace a un sitio web que aloja una descarga maliciosa o un archivo adjunto que tiene incorporada la funcionalidad de descarga. Si el destinatario del correo electrónico cae en la trampa del phishing, el ransomware se descarga y ejecuta en su computadora.
Otro vector de infección de ransomware popular aprovecha servicios como el Protocolo de escritorio remoto (RDP). Con RDP, un atacante que haya robado o adivinado las credenciales de inicio de sesión de un empleado puede usarlas para autenticarse y acceder de forma remota a una computadora dentro de la red empresarial. Con este acceso, el atacante puede descargar directamente el malware y ejecutarlo en la máquina bajo su control.
Otros pueden intentar infectar sistemas directamente, como WannaCry aprovechó la vulnerabilidad EternalBlue. La mayoría de las variantes de ransomware tienen múltiples vectores de infección.
En 2025, los ataques de ransomware aprovecharon frecuentemente vulnerabilidades de los proveedores externos de una organización, ya que los reconocían como un punto de entrada más débil. Esto suele empezar con credenciales vulneradas o software sin parches en el sistema de un proveedor, lo que permite a los atacantes obtener acceso inicial. Con estos recursos, los autores de la amenaza aprovechan la conexión de confianza entre el proveedor y la organización objetivo para moverse lateralmente e implementar el ransomware, omitiendo las protecciones directas de la empresa principal.
- Paso 2. Cifrado de datos
Una vez que el ransomware ha obtenido acceso a un sistema, puede comenzar a cifrar sus archivos. Dado que la funcionalidad de cifrado está integrada en un sistema operativo, esto simplemente implica acceder a los archivos, cifrarlos con una clave controlada por el atacante y reemplazar los originales con las versiones cifradas. La mayoría de las variantes de ransomware son cautelosas al seleccionar los archivos que cifran para garantizar la estabilidad del sistema. Algunas variantes también tomarán medidas para eliminar copias de seguridad y copias de sombra de archivos para hacer más difícil la recuperación sin la clave de descifrado.
- Paso 3. Demanda de rescate
Una vez que se completa el cifrado de archivos, el ransomware está preparado para exigir un rescate. Las diferentes variantes de ransomware implementan esto de numerosas maneras, pero no es raro que se cambie el fondo de pantalla a una nota de rescate o se coloquen archivos de texto en cada directorio cifrado que contiene la nota de rescate. Normalmente, estas notas exigen una cantidad fija de criptomonedas a cambio de acceder a los archivos de la víctima. Si se paga el rescate, el operador del ransomware proporcionará una copia de la clave privada utilizada para proteger la clave de cifrado simétrica o una copia de la propia clave de cifrado simétrica. Esta información se puede ingresar en un programa de descifrado (también proporcionado por el ciberdelincuente) que puede utilizarla para revertir el cifrado y restaurar el acceso a los archivos del usuario.
Si bien estos tres pasos principales existen en todas las variantes de ransomware, diferentes ransomware pueden incluir diferentes implementaciones o pasos adicionales. Por ejemplo, las variantes de ransomware como Maze realizan escaneo de archivos, información de registro y robo de datos antes del cifrado de datos, y el ransomware WannaCry busca otros dispositivos vulnerables para infectarlos y cifrarlos.
Acerca del autor
