{"id":68,"date":"2026-03-15T12:35:48","date_gmt":"2026-03-15T12:35:48","guid":{"rendered":"https:\/\/escudodigital.uy\/index.php\/2026\/03\/15\/como-los-grupos-de-ransomware-aprietan-los-tornillos-a-las-victimas\/"},"modified":"2026-03-15T12:35:48","modified_gmt":"2026-03-15T12:35:48","slug":"como-los-grupos-de-ransomware-aprietan-los-tornillos-a-las-victimas","status":"publish","type":"post","link":"https:\/\/escudodigital.uy\/index.php\/2026\/03\/15\/como-los-grupos-de-ransomware-aprietan-los-tornillos-a-las-victimas\/","title":{"rendered":"C\u00f3mo los grupos de ransomware aprietan los tornillos a las v\u00edctimas"},"content":{"rendered":"
\n

Cuando los datos corporativos se exponen en un sitio de filtraci\u00f3n dedicado, las consecuencias persisten mucho despu\u00e9s de que el ataque desaparece del ciclo de noticias.<\/p>\n

\n
\"Guilherme<\/picture><\/div>\n<\/div>\n

\n 12 de febrero de 2026<\/span>
\n \u2022 <\/span>
\n , <\/span>
\n 6 min. leer<\/span>\n <\/p>\n

\n \"Nombrar<\/picture> <\/div>\n<\/div>\n
\n

En el \u00e1mbito del ciberdelito, podr\u00eda decirse que el cambio es la \u00fanica constante. Si bien la ciberextorsi\u00f3n como categor\u00eda m\u00e1s amplia de delito ha demostrado su poder de permanencia, el ransomware (su \u201csabor\u201d posiblemente m\u00e1s da\u00f1ino) no vive ni muere s\u00f3lo con el cifrado. El manual de estrategias de ‘anta\u00f1o’ implicaba en gran medida bloquear archivos o sistemas y exigir el pago por una clave de descifrado, pero en los \u00faltimos a\u00f1os las campa\u00f1as cambiaron a combinar el cifrado con la exfiltraci\u00f3n de datos y amenazas de publicar la informaci\u00f3n robada.<\/p>\n

Aqu\u00ed es donde entran los sitios de filtraci\u00f3n dedicados, o sitios de filtraci\u00f3n de datos (DLS). Aparecieron por primera vez a finales de 2019 y desde entonces se han convertido en la columna vertebral de la estrategia de doble extorsi\u00f3n. Los actores de amenazas roban datos corporativos (antes de cifrarlos) y luego convierten el bot\u00edn en un arma p\u00fablicamente, convirtiendo efectivamente un incidente de seguridad en una crisis p\u00fablica en toda regla.<\/p>\n

Por supuesto, los expertos en seguridad y las fuerzas del orden han estado siguiendo este cambio durante a\u00f1os. El FBI y la CISA ahora describen habitualmente el ransomware como un problema de \u201crobo de datos y extorsi\u00f3n\u201d. Proyectos de seguimiento p\u00fablico como Ransomware.live<\/a> apuntan en la misma direcci\u00f3n, incluso si el recuento preciso de v\u00edctimas debe tratarse con cautela. Los sitios de filtraci\u00f3n reflejan s\u00f3lo lo que los delincuentes eligen \u00abpublicitar\u00bb, no el universo completo de los incidentes.<\/p>\n

Examinemos el papel de los DLS en el ecosistema de ransomware y las implicaciones para las organizaciones v\u00edctimas.<\/p>\n

\u00bfC\u00f3mo utilizan los grupos de ransomware los sitios de fuga de datos?<\/h2>\n

Alojados en la web oscura y accesibles a trav\u00e9s de la red Tor, los sitios a menudo publican una muestra de datos robados y amenazan a las v\u00edctimas con la divulgaci\u00f3n p\u00fablica completa a menos que se realice el pago. A veces, el material se publica despu\u00e9s de que la v\u00edctima se neg\u00f3 a ceder, apret\u00e1ndoles a\u00fan m\u00e1s la tuerca. La informaci\u00f3n sobre las v\u00edctimas, la magnitud del material robado e incluso los plazos que deben parecer inexorables son parte de la estrategia.<\/p>\n

\"Figura
Figura 1. N\u00famero de v\u00edctimas denunciadas p\u00fablicamente en sitios de fuga de datos, recopiladas a trav\u00e9s de ecrime.ch (fuente: Informe de amenazas de ESET segundo semestre de 2025<\/a>)<\/em><\/figcaption><\/figure>\n

Lo que hace que la estrategia sea devastadora es la velocidad y la amplificaci\u00f3n. Una vez que el incidente sale a la luz, los m\u00faltiples riesgos se fusionan en un solo momento muy visible y la organizaci\u00f3n v\u00edctima opera bajo una nube de sospecha e incertidumbre, a menudo incluso antes de que su personal de TI y de seguridad tenga una imagen completa de lo que fue robado o hasta qu\u00e9 punto se extendi\u00f3 la intrusi\u00f3n. Y ese es, por supuesto, el punto: los sitios de fuga de datos son una herramienta de coerci\u00f3n.<\/p>\n

Esta es tambi\u00e9n la raz\u00f3n por la que est\u00e1n cuidadosamente seleccionados. Los atacantes suelen publicar suficiente material para demostrar que no est\u00e1n mintiendo: un pu\u00f1ado de contratos o una serie de correos electr\u00f3nicos. Habr\u00e1 m\u00e1s a menos que la v\u00edctima ceda.<\/p>\n

De hecho, el da\u00f1o rara vez termina con la v\u00edctima inicial. Los datos, una vez vertidos o revendidos, se convierten en combustible para delitos posteriores, y los equipos de seguridad los ven reaparecer en kits de phishing, campa\u00f1as de compromiso de correo electr\u00f3nico empresarial (BEC) y esquemas de fraude de identidad. En los incidentes en la cadena de suministro, una infracci\u00f3n puede extenderse y exponer a los clientes y socios de la v\u00edctima. Este efecto en cascada es en parte el motivo por el que las autoridades tratan el ransomware como un riesgo sist\u00e9mico, en lugar de una serie de percances aislados.<\/p>\n

\"Figura
Figura 2. Sitio t\u00edpico de fuga de LockBit (fuente: ESET Research)<\/em><\/figcaption><\/figure>\n
\"Figura
Figura 3. Sitio de fuga de datos del ransomware Medusa<\/em><\/figcaption><\/figure>\n

Presi\u00f3n por dise\u00f1o<\/h2>\n

Cada elemento de un sitio de fuga est\u00e1 dise\u00f1ado para maximizar la presi\u00f3n psicol\u00f3gica.<\/p>\n