{"id":315,"date":"2026-04-21T06:59:19","date_gmt":"2026-04-21T06:59:19","guid":{"rendered":"https:\/\/escudodigital.uy\/index.php\/2026\/04\/21\/lo-que-no-dira-la-nota-de-rescate\/"},"modified":"2026-04-21T06:59:19","modified_gmt":"2026-04-21T06:59:19","slug":"lo-que-no-dira-la-nota-de-rescate","status":"publish","type":"post","link":"https:\/\/escudodigital.uy\/index.php\/2026\/04\/21\/lo-que-no-dira-la-nota-de-rescate\/","title":{"rendered":"Lo que no dir\u00e1 la nota de rescate"},"content":{"rendered":"
\n

En marzo de 2024, un afiliado de la banda de ransomware BlackCat acudi\u00f3 a un foro sobre delitos cibern\u00e9ticos con un queja<\/a>. Llevaron a cabo el ataque a Change Healthcare (una de las mayores violaciones de datos sanitarios en la historia de EE. UU.) pero nunca obtuvieron su parte del dinero. Pago de rescate de 22 millones de d\u00f3lares<\/a>. Los operadores de BlackCat tomaron el dinero y desaparecieron, colocando un aviso de incautaci\u00f3n falso del FBI en el lugar de la fuga para cubrir la salida.<\/p>\n

La queja casi parece una disputa con un contratista. Si se elimina el elemento criminal junto con la aparente traici\u00f3n, lo que queda es (indicios de) algo que cualquier ejecutivo de una empresa podr\u00eda reconocer: acuerdos comerciales completos con cadenas de suministro, precios, competencia y clientes que esperan que su dinero valga la pena. El ransomware actual sigue esta misma l\u00f3gica.<\/p>\n

Desde fuera, sin embargo, no lo sabr\u00edas. Para el ojo inexperto, los ataques parecen un robo con una nota de rescate adjunta: alguien entra, bloquea (y roba) los archivos cr\u00edticos, deja una cruda demanda y espera su recompensa. Claro y simple, pero casi con seguridad incompleto. Es comprensible que la explosi\u00f3n y especialmente su impacto acaben en los titulares, mientras que todo lo que la aliment\u00f3 permanece \u00abfuera de c\u00e1mara\u00bb. Pero ah\u00ed es s\u00f3lo donde finalmente surge la operaci\u00f3n. Gran parte de lo que hizo posible y exitoso el ataque ocurri\u00f3 donde nadie miraba.<\/p>\n

Demasiado barato para fallar<\/h2>\n

Detr\u00e1s del ‘escaparate’ del ransomware se esconde una especie de operaci\u00f3n de franquicia, o tal vez una econom\u00eda de trabajo informal, completa con mercados laborales y de herramientas, servicios de suscripci\u00f3n, proveedores y socios, y algo parecido a acuerdos de nivel de servicio entre las partes involucradas. Colectivamente, allanan el camino para la intrusi\u00f3n mucho antes de que llegue la nota de rescate. Si su organizaci\u00f3n considera un incidente de ransomware s\u00f3lo como una irrupci\u00f3n casi aleatoria que ocurri\u00f3 casi como de la nada, sus defensas pueden construirse en consecuencia. Pero es posible que tampoco tengan en cuenta qu\u00e9 tan bien dotada de recursos y cu\u00e1n iterativa es realmente la amenaza.<\/p>\n

La industria est\u00e1 dise\u00f1ada para que cada participante s\u00f3lo necesite ser competente en su funci\u00f3n (estricta). El desarrollador que mantiene la plataforma de ransomware y la marca nunca tiene que molestarse en tocar el entorno de la v\u00edctima para ganar sus recompensas. El afiliado paga una comisi\u00f3n o una tarifa por el acceso utilizando credenciales que \u00e9l mismo no obtuvo. El corredor de acceso inicial que vende un punto de apoyo en una red corporativa no sabe (ni siquiera necesita saber) qu\u00e9 planea hacer el comprador con los inicios de sesi\u00f3n.<\/p>\n

Pero juntos han aplicado la l\u00f3gica de la franquicia al antiguo \u00abarte\u00bb de la extorsi\u00f3n, dividiendo el peso de la culpa a lo largo del camino. Y siempre que una industria se estructura de esta manera, el volumen sigue.<\/p>\n

Datos de detecci\u00f3n de ESET<\/a> muestra que el ransomware aument\u00f3 un 13 por ciento en la segunda mitad de 2025 en comparaci\u00f3n con los seis meses anteriores, luego de un aumento del 30 por ciento en la primera mitad de 2025. Mientras tanto, Verizon Informe de investigaciones de vulneraci\u00f3n de datos de 2025<\/a> (DBIR) registr\u00f3 un aumento del 32% al 44% en la proporci\u00f3n de infracciones relacionadas con ransomware, mientras que el pago medio del rescate cay\u00f3 de 150.000 d\u00f3lares a 115.000 d\u00f3lares. Los objetivos tambi\u00e9n est\u00e1n cambiando. Mandiant an\u00e1lisis<\/a> muestra un movimiento hacia organizaciones m\u00e1s peque\u00f1as con defensas menos maduras.<\/p>\n

M\u00e1s objetivos (y m\u00e1s suaves) y bocados m\u00e1s peque\u00f1os equivalen a una obra de volumen de libro de texto.<\/p>\n

\"detecciones
Figura 1. Tendencia de detecci\u00f3n de ransomware en el primer semestre de 2025 y en el segundo semestre de 2025, promedio m\u00f3vil de siete d\u00edas (fuente: Informe de amenazas de ESET segundo semestre de 2025<\/a>)<\/em><\/figcaption><\/figure>\n

El ransomware no es aleatorio<\/h2>\n

Las operaciones de ransomware se construyen a escala independientemente de si alg\u00fan participante individual posee habilidades formidables. Es cierto que el funcionamiento interno de lo que a menudo se conoce como ransomware como servicio (RaaS) es m\u00e1s complicado que el de, digamos, una cadena de comida r\u00e1pida: la coordinaci\u00f3n es d\u00e9bil y las guerras territoriales son reales y, en ocasiones, p\u00fablicas. A\u00fan as\u00ed, la l\u00f3gica subyacente se mantiene. La industria del ransomware vive y muere de la confianza entre sus participantes y <\/em>los incentivos que los vinculan. Los incentivos son famosos conocido<\/a> para determinar los resultados m\u00e1s que cualquier otra cosa.<\/p>\n

Tanto es as\u00ed que el campo est\u00e1 abarrotado en consecuencia. Competencia entre humanos en general. ampl\u00eda su propia forma<\/a> \u2013 primero entre individuos, luego familias, luego comunidades, luego naciones. En el mundo digital, los piratas inform\u00e1ticos individuales que compet\u00edan por la notoriedad se transformaron en grupos organizados que compet\u00edan por el territorio, que se convirtieron en una red interconectada de especialistas que compet\u00edan por cuota de mercado. Sin las trabas de fronteras ni burocracias, los ciberdelincuentes comprimieron un arco que llev\u00f3 d\u00e9cadas a las industrias leg\u00edtimas en un par de a\u00f1os.<\/p>\n

Por supuesto, las autoridades no se quedan de brazos cruzados, y las perturbaciones selectivas crean incertidumbre real e imponen costos reales. Pero cerrar una empresa en un mercado competitivo no cierra el mercado. A medida que los incentivos se mantienen alineados, la desaparici\u00f3n de un grupo de ransomware desencadena una competencia entre los supervivientes para ocupar su lugar. Surgen nuevos participantes, otros cambian de marca o se asocian con sus pares, los clientes eligen nuevos proveedores y los manuales probados sobreviven. Incluso las luchas internas entre los grupos de delitos cibern\u00e9ticos equivalen a que el mercado purgue a sus jugadores m\u00e1s d\u00e9biles: la competencia funciona como se anuncia.<\/p>\n

Por ejemplo, cuando LockBit y BlackCat fueron interrumpidos por las fuerzas del orden en 2024, sus afiliados se trasladaron principalmente a RansomHub. En 2025, DragonForce (un actor relativamente menor en ese momento) desfigur\u00f3 los sitios de filtraci\u00f3n de varios rivales y elimin\u00f3 el sitio de RansomHub, la operaci\u00f3n l\u00edder en ese momento. Cuando RansomHub qued\u00f3 en silencio, Akira y Qilin absorbieron su participaci\u00f3n de mercado. El patr\u00f3n se mantiene porque la barrera de entrada se mantiene baja, las herramientas est\u00e1n disponibles como un servicio y la mano de obra es tan desechable que no se puede privar de participantes a la oferta.<\/p>\n

La carrera de la Reina Roja<\/h2>\n

El cibercrimen nunca se detiene. El manual de ransomware de anta\u00f1o (bloquear los archivos y exigir un rescate) ha dado paso a la doble extorsi\u00f3n, donde los atacantes roban datos corporativos antes de cifrarlos y publican al menos muestras del bot\u00edn en sitios de filtraci\u00f3n dedicados. El FBI y la CISA ahora describen habitualmente el ransomware como un problema de \u00abrobo de datos y extorsi\u00f3n\u00bb.<\/p>\n

\"sitio
Figura 2. Sitio de fuga de LockBit (fuente: ESET Research)<\/em><\/figcaption><\/figure>\n

Pero los peligros espec\u00edficos tambi\u00e9n cambian r\u00e1pidamente. Hace apenas dos a\u00f1os, ClickFix \u2013una t\u00e9cnica de ingenier\u00eda social en la que un mensaje de error falso enga\u00f1a a los usuarios para que copien, peguen y ejecuten comandos maliciosos\u2013 no estaba en el radar de casi nadie. Ahora est\u00e1 muy extendido y lo utilizan tanto grupos respaldados por el Estado como grupos de delitos cibern\u00e9ticos.<\/p>\n

Por otra parte, esta velocidad de adaptaci\u00f3n no sorprende una vez que te das cuenta de que una versi\u00f3n de ella se ha estado desarrollando en la naturaleza desde, bueno, desde siempre. Las especies atrapadas en la competencia deben adaptarse continuamente simplemente para mantener su posici\u00f3n. Los depredadores se vuelven m\u00e1s r\u00e1pidos, por lo que las presas se vuelven m\u00e1s r\u00e1pidas. La presa desarrolla camuflaje, por lo que los depredadores desarrollan una visi\u00f3n m\u00e1s aguda. La biolog\u00eda llama a esto el efecto Reina Roja, que lleva el nombre de un personaje de la novela de Lewis Carroll. A trav\u00e9s del espejo<\/em> que debe seguir corriendo s\u00f3lo para mantenerse en el lugar.<\/p>\n

Los profesionales de la seguridad reconocer\u00e1n la din\u00e1mica, aunque los nombres m\u00e1s familiares \u2013como carrera armamentista y juego del gato y el rat\u00f3n\u2013 pueden estar subestim\u00e1ndola. La Reina Roja describe algo m\u00e1s espec\u00edfico: una adaptaci\u00f3n que no produce ninguna ventaja neta porque el otro lado se adapta casi en paralelo.<\/p>\n

Su manifestaci\u00f3n m\u00e1s clara hasta el momento habita en el espacio entre las herramientas de los defensores y las antiherramientas de los atacantes. Detecci\u00f3n y respuesta de endpoints (y detecci\u00f3n y respuesta extendidas<\/a>o EDR\/XDR) son clave para detectar el tipo de actividad que realizan los afiliados de ransomware dentro de las redes comprometidas. A medida que los productos mejoraron, los delincuentes respondieron creando un mercado clandestino de herramientas dise\u00f1adas para desactivarlos.<\/p>\n

Y donde hay un mercado, hay un producto; normalmente, en abundancia.<\/p>\n

Los investigadores de ESET rastrean casi 90 asesinos de EDR en uso activo. Cincuenta y cuatro explotan la misma t\u00e9cnica subyacente: cargar un controlador leg\u00edtimo pero vulnerable en la m\u00e1quina de destino y usarlo para obtener los privilegios a nivel de kernel necesarios para cerrar el producto de seguridad. La t\u00e9cnica se llama Traiga su propio controlador vulnerable (BYOVD), y los controladores vulnerables son un bien: el mismo controlador aparece en herramientas no relacionadas y la misma herramienta migra entre controladores en distintas campa\u00f1as.<\/p>\n

\"eti-ecrimen\"<\/a><\/p>\n

El mercado asesino de EDR refleja la econom\u00eda del ransomware a la que sirve. Estas herramientas anti-herramientas vienen con servicios de ofuscaci\u00f3n basados \u200b\u200ben suscripci\u00f3n que se actualizan peri\u00f3dicamente para adelantarse a la detecci\u00f3n. Los afiliados, no los operadores de ransomware, suelen elegir qu\u00e9 asesino implementar; la decisi\u00f3n de compra se toma a nivel de franquicia. Cuando el producto defensivo se actualiza, le sigue el servicio de ofuscaci\u00f3n. Reina Roja, otra vez.<\/p>\n

La mera inversi\u00f3n en asesinos de EDR es, un tanto perversamente, la medida m\u00e1s clara de cu\u00e1nto da\u00f1o infligen las herramientas de detecci\u00f3n al modelo de negocio criminal. Despu\u00e9s de todo, no se crea una categor\u00eda de producto completa en torno a deshabilitar algo que no perjudica sus resultados.<\/p>\n

Y las herramientas antiherramientas pueden escalar a\u00fan m\u00e1s a medida que la IA est\u00e9 haciendo que sea a\u00fan m\u00e1s f\u00e1cil unirse al mercado, por no mencionar a la econom\u00eda del cibercrimen en general. Los investigadores de ESET sospechan que la IA ayud\u00f3 en el desarrollo de algunos asesinos de EDR; los productos de la banda Warlock son s\u00f3lo un ejemplo. De hecho, los expertos de ESET tambi\u00e9n detectaron el primer ransomware impulsado por IA, aunque no en ataques reales. Por otra parte, otros investigadores han documentado lo que llaman ‘vibeware<\/a>‘: malware asistido por IA producido en volumen y destinado a inundar el entorno de destino con c\u00f3digo desechable con la esperanza de que algo logre pasar. La barrera para producir malware ha ca\u00eddo hasta un punto en el que la limitaci\u00f3n es la intenci\u00f3n, en lugar de habilidades formidables, muy parecido a lo que hemos presenciado en la escena m\u00e1s amplia del cibercrimen.<\/p>\n

leyendo el mercado<\/h2>\n

Ver el ransomware s\u00f3lo como un ataque produce defensas construidas contra los ataques. Pero si se piensa en el ransomware como industria, se destacan prioridades adicionales.<\/p>\n

\u00bfC\u00f3mo est\u00e1 evolucionando la din\u00e1mica de la Reina Roja entre productos defensivos y antiherramientas? \u00bfQu\u00e9 herramientas, t\u00e9cnicas y procedimientos maliciosos est\u00e1n circulando actualmente? \u00bfPuede su sistema de seguridad protegerse de un ataque BYOVD que utilice los controladores actualmente en circulaci\u00f3n? \u00bfQu\u00e9 sucede con su entorno si un MSP de su cadena de suministro se ve comprometido? \u00bfQu\u00e9 actores de ransomware se dirigen activamente a su sector y qu\u00e9 asesinos de EDR est\u00e1n comprando?<\/p>\n

Si no puede responder estas y otras preguntas pertinentes, es posible que cuando llegue a usted la producci\u00f3n de la industria, gran parte de la cadena ya se haya ejecutado. No se puede predecir qu\u00e9 grupo se dirigir\u00e1 a usted, cu\u00e1ndo ni a trav\u00e9s de qu\u00e9 vector. Pero puedes mantener un mapa actualizado de hacia d\u00f3nde se dirigen los grupos activos y si alguno de esos caminos podr\u00eda conducir a tu puerta.<\/p>\n

\"invitaci\u00f3n-eset-world-2026\"<\/a><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

En marzo de 2024, un afiliado de la banda de ransomware BlackCat acudi\u00f3 a un foro sobre delitos<\/p>\n","protected":false},"author":1,"featured_media":316,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-315","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/315","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/comments?post=315"}],"version-history":[{"count":0,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/315\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media\/316"}],"wp:attachment":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media?parent=315"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/categories?post=315"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/tags?post=315"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}