Ransomware

El ransomware es un tipo de malware que cifra sus archivos y exige un pago para restaurar el acceso, amenazando a menudo con filtrar datos robados.
18 febrero 2026

¿Qué es Ransomware?

El ransomware es una forma de malware diseñado para cifrar datos o bloquear sistemas y luego exigir un pago por su liberación.

Sin embargo, un ataque de ransomware no es solo la implementación de ransomware. Se trata de una intrusión de varias etapas en la que los atacantes primero obtienen acceso, establecen persistencia, elevan privilegios, se mueven lateralmente a través de los sistemas y a menudo extraen datos confidenciales antes de implementar ransomware como paso final para interrumpir las operaciones y forzar el pago.

Los grupos de ransomware modernos combinan el cifrado con el robo de datos y la extorsión, convirtiendo la vulneración de una red a gran escala en un modelo de negocio delictivo altamente rentable.

¿Cuáles son las etapas de un ataque de ransomware?

  • Infiltración: Generalmente a través de un correo electrónico de phishing, una credencial de escritorio remoto (RDP) comprometida o una vulnerabilidad de software.
  • Puesta en escena y sigilo: El malware se comunica con el servidor del atacante para configurar claves de cifrado y permanece oculto a los antivirus básicos.
  • Exfiltración de datos: Antes de cifrar, el atacante carga silenciosamente copias de sus archivos confidenciales en sus propios servidores.
  • Cifrado: El software bloquea sus archivos, cambiando sus extensiones (por ejemplo, .docx pasa a ser .locked).
  • La nota de rescate: Aparece un mensaje en su pantalla con instrucciones sobre cómo pagar, generalmente en Bitcoin, para obtener una herramienta de descifrado.

¿Puedes recuperarte sin pagar?

Nunca se recomienda pagar el rescate, ya que no garantiza que recuperará sus archivos y lo identifica como un "pagador dispuesto" para futuros ataques. El mejor camino de recuperación implica:

  • Copias de seguridad externas: Restaurar desde una copia de seguridad limpia y desconectada es el único método de recuperación 100% efectivo.
  • Reversión de EDR: Algunas herramientas de seguridad avanzadas pueden "deshacer" el cifrado restaurando archivos desde copias de seguridad locales antes de que fueran bloqueados.
  • Herramientas de descifrado: Ocasionalmente, los investigadores de seguridad encuentran fallas en el código de un ransomware específico y lanzan "descifradores" gratuitos.

¿Qué hace el rastreador de ransomware WatchGuard?

El Rastreador de ransomware WatchGuard es una base de datos completa y pública de inteligencia sobre amenazas mantenida por WatchGuard Threat Lab. Su objetivo principal es proporcionar una visión histórica y en tiempo real del panorama global del ransomware, ayudando a los profesionales de seguridad y al público a comprender las amenazas activas.

A continuación se muestra un desglose de lo que proporciona el rastreador:

1. Catalogación de amenazas activas

El rastreador mantiene una lista exhaustiva de cepas de ransomware (por ejemplo, Akira, RansomHub, 0mega). Para cada entrada, normalmente se hace un seguimiento de:

  • Primero y último visto: Cuándo se identificó el ransomware por primera vez y la fecha de su actividad más reciente.
  • Estado: Si el grupo o cepa está actualmente “Activo” o ha quedado inactivo.
  • Linaje y alias: Cualquier conexión con otras familias de ransomware o nombres anteriores que utilizó el grupo.


2. Inteligencia técnica

Para muchas variantes importantes de ransomware, el rastreador proporciona un "análisis profundo" de cómo opera el malware, lo que puede ser fundamental para la defensa. Esto incluye:

  • Tipos de extorsión: Detalles sobre si el grupo utiliza "Doble Extorsión" (cifrado de archivos) y robar datos para filtrarlos más tarde).
  • Métodos de cifrado: Información sobre los algoritmos específicos utilizados (por ejemplo, AES-256 o ChaCha20) y las claves involucradas.
  • Canales de comunicación: Enlaces a los "sitios de filtraciones" basados en TOR del grupo, canales de Telegram o identificadores específicos como Tox IDs.


3. Seguimiento global de víctimas

La herramienta cuenta con una Mapa de seguimiento de ransomware que visualiza la prevalencia de ataques por país. Agrega datos sobre:

  • Total de víctimas rastreadas: El número de organizaciones confirmadas afectadas por ransomware.
  • Total de grupos activos: El número de organizaciones criminales únicas que operan actualmente.
  • Disponibilidad del descifrador: Destaca si existe un descifrador gratuito (a menudo a través de No más rescates proyecto), que puede evitar que una víctima tenga que pagar un rescate.

4. Perspectivas estratégicas

El rastreador se integra al "Centro de ciberseguridad" más amplio de WatchGuard, conectando datos en tiempo real con sus informes trimestrales. Informes de seguridad de Internet . Esto permite a los usuarios ver tendencias, como:

  • Si el volumen de ransomware está aumentando o disminuyendo en una región específica.
  • El cambio de ataques basados en red a ataques centrados en puntos finales.
  • El auge del «ransomware como servicio» (RaaS), donde los desarrolladores alquilan su código a otros delincuentes.
Archivado bajo: Tendencias de Ciberseguridad, Ransomware, Zero Trust