Qué es el ransomware, tipos, ejemplos y cómo protegerse

Inicio » Software » Qué es el ransomware, tipos, ejemplos y cómo protegerse

El ransomware se ha convertido en uno de los ciberataques más lucrativos y dañinos del mundo. Bloquea equipos, cifra datos y chantajea a usuarios y empresas pidiendo un rescate, normalmente en criptomonedas. En los últimos años ha paralizado hospitales, ayuntamientos, empresas energéticas y hasta pequeñas pymes que pensaban que “esto solo le pasa a los grandes”.

Aunque mucha gente lo resume como “un virus que te bloquea el ordenador”, la realidad es bastante más compleja. Existen múltiples tipos de ransomware, distintas fases en los ataques y un auténtico ecosistema criminal profesionalizado, con bandas, afiliados y modelos de “ransomware como servicio”. Entender bien qué es, cómo funciona y cómo ha evolucionado es clave para poder protegerse de forma realista.

Qué es el ransomware: definición clara y sencilla

El ransomware es un tipo de malware (software malicioso) diseñado para impedirte usar tu sistema o acceder a tus archivos hasta que pagas una cantidad de dinero, el famoso “rescate”. De ahí viene su nombre en inglés: “ransom” significa “rescate”.

En la práctica, el atacante toma “rehén” tu dispositivo o tus datos. Puede bloquear por completo el sistema operativo, cifrar documentos, bases de datos y copias de seguridad, o ambas cosas a la vez. Después aparece un mensaje en pantalla con instrucciones de pago, normalmente en criptomonedas o a través de sistemas difíciles de rastrear.

Las primeras familias de ransomware aparecieron a finales de los años 80, cuando el rescate se pagaba incluso por correo postal. Hoy los grupos criminales operan como auténticas empresas: usan criptomonedas, infraestructuras distribuidas, intermediarios financieros y redes de afiliados, a lo que se llama RaaS (Ransomware as a Service).

Además, el ransomware no distingue entre víctimas particulares y organizaciones. Afecta a usuarios domésticos, autónomos, pymes, grandes compañías, administraciones públicas, hospitales o centros educativos. Cualquiera que tenga datos valiosos o servicios críticos es un objetivo potencial.

Tipos principales de ransomware

Con el tiempo han ido apareciendo muchas variantes, pero a gran nivel podemos agrupar el ransomware en dos grandes familias: el de cifrado de datos y el de bloqueo de dispositivo. A partir de ahí, surgen subtipos y combinaciones.

Ransomware de cifrado (ransomware criptográfico)

En el ransomware de cifrado, el atacante encripta archivos o datos sensibles de la víctima para que no pueda acceder a ellos. Documentos, hojas de cálculo, fotos, bases de datos, proyectos… todo queda ilegible sin la clave de descifrado.

Tras el cifrado, aparece una nota de rescate que indica cuánto hay que pagar y cómo hacerlo. En teoría, una vez pagas, el delincuente te envía una clave o una herramienta para recuperar tus archivos. Pero no hay ninguna garantía: muchas organizaciones han perdido definitivamente sus datos después de pagar, o han recibido claves defectuosas.

Los primeros ejemplos utilizaban criptografía simétrica relativamente sencilla, como el troyano AIDS. Pero desde mediados de los 2000 se generalizó el uso de criptografía asimétrica avanzada (claves públicas y privadas), lo que hace prácticamente imposible romper el cifrado por fuerza bruta.

Ransomware de bloqueo (locker ransomware)

El ransomware de bloqueo impide usar el dispositivo, pero sin cifrar necesariamente los archivos. Suele mostrar una pantalla a tamaño completo que bloquea el acceso al escritorio, al menú de inicio y a las aplicaciones.

En este tipo de ataques, la nota de rescate aparece directamente en la pantalla bloqueada, indicando una supuesta infracción (a veces con logos falsos de fuerzas de seguridad o agencias gubernamentales) y reclamando un pago para “desbloquear” el equipo.

Este enfoque es muy habitual en dispositivos móviles y equipos de usuarios particulares. La ventaja, si se gestiona bien, es que al recuperar el acceso al dispositivo, los datos suelen seguir intactos, porque en muchos casos no se llegan a cifrar.

Subtipos habituales de ransomware

A partir de esas dos categorías básicas, han surgido variantes con técnicas de extorsión cada vez más agresivas:

• Scareware o software de intimidación: se hace pasar por un antivirus o por una agencia policial y muestra mensajes falsos de infección o delitos, solicitando un pago para “resolver” el problema.
• Doxware: además de cifrar o robar datos, amenaza con publicar información privada (por ejemplo, datos personales, financieros o médicos) si no se paga el rescate.
• Ransomware de doble extorsión: cifra los archivos y, a la vez, roba datos confidenciales. Si la víctima restaura copias de seguridad en lugar de pagar, los criminales presionan amenazando con filtrar los datos robados.
• Ransomware de triple extorsión: además de las dos anteriores, los atacantes acosan a clientes, proveedores o usuarios finales de la organización afectada, para incrementar la presión y el daño reputacional.
• Ransomware destructivo: en lugar de centrarse en el beneficio económico, puede borrar o dañar de forma irreversible los datos si la víctima no cumple las exigencias o como represalia.

Cómo entra el ransomware en un sistema

Para que el chantaje funcione, el atacante necesita primero acceder al equipo o la red de la víctima y ejecutar el código malicioso. Eso puede ocurrir de varias formas, algunas muy sutiles.

Malspam: correos electrónicos maliciosos

El malspam es correo basura que incluye archivos adjuntos o enlaces infectados. Su objetivo es que alguien haga clic, abra el archivo y sin darse cuenta ejecute el ransomware.

Estos mensajes suelen estar muy trabajados: imitan a empresas de mensajería, bancos, administraciones públicas o incluso contactos reales. Pueden adjuntar documentos de Word, PDF o ficheros comprimidos que, al abrirlos, explotan vulnerabilidades o piden habilitar macros que disparan la infección.

Malvertising o publicidad maliciosa

El malvertising utiliza anuncios online para distribuir malware, a veces sin que el usuario llegue a clicar en el banner. Al navegar por webs, incluso legítimas, un anuncio comprometido puede redirigirte de forma invisible a un servidor controlado por ciberdelincuentes.

Desde allí, se recopila información del sistema de la víctima y se lanza un “exploit kit”: un conjunto de herramientas que buscan agujeros de seguridad en el navegador, plugins o sistema operativo para instalar el ransomware sin que el usuario note nada, lo que se conoce como “descarga silenciosa” o “drive-by download”.

Spear phishing y whaling

Cuando el objetivo es una empresa específica, los atacantes recurren al spear phishing: correos personalizados que parecen proceder del departamento de recursos humanos, del CEO o de proveedores conocidos.

En los casos más graves, el ataque se dirige a altos directivos o cargos críticos. A esto se le llama “whaling” (cazar ballenas). El correo puede pedir que se revise una nueva política, que se firme un documento urgente o que se descargue un informe. El enlace o el fichero son en realidad el detonante del ransomware.

Ingeniería social en todas sus variantes

La ingeniería social es el arte de manipular a las personas para que hagan lo que el atacante quiere. En el caso del ransomware, se utiliza para lograr que alguien haga clic, abra un archivo o entregue credenciales.

Los delincuentes aprovechan información pública de redes sociales, webs corporativas o filtraciones previas para construir mensajes creíbles. También se hacen pasar por fuerzas de seguridad o por servicios técnicos, amenazando con multas, demandas o bloqueos si no se actúa de inmediato.

Explotación de vulnerabilidades y gusanos

Más allá del engaño al usuario, muchas familias de ransomware se propagan explotando fallos de seguridad en sistemas operativos o aplicaciones sin parchear.

Algunos como WannaCry o ciertas variantes de Ryuk se comportan como gusanos: una vez dentro de la red, se replican automáticamente a otros equipos mediante protocolos como SMB, RPC o funciones como Wake on LAN, llegando a encender equipos apagados para cifrarlos.

Cómo actúa el ransomware dentro del equipo

Una vez ha entrado, el ransomware suele seguir una secuencia bastante definida, aunque cada familia introduce variantes para ser más sigilosa o efectiva.

En un escenario típico, el malware se instala como un programa o servicio oculto, modifica el registro o la configuración para ejecutarse al inicio y comienza a cifrar archivos o bloquear el sistema sin levantar sospechas. A veces espera un tiempo (horas o días) para dificultar la identificación del origen.

En el caso de los cifradores, el programa genera claves criptográficas y va cifrando archivos según su extensión o ubicación (documentos, imágenes, bases de datos, unidades de red, copias de seguridad conectadas, etc.). A menudo también cambia la extensión de los ficheros para que sea claro que están secuestrados.

Durante el proceso, algunas variantes borran “copias sombra” del sistema y desactivan servicios de recuperación para que sea más difícil restaurar datos. Otras buscan y eliminan backups accesibles para maximizar el daño.

Al terminar, se muestra una nota de rescate en el escritorio, en la pantalla de inicio o dentro de cada carpeta afectada, indicando el importe, la moneda (normalmente Bitcoin u otras criptomonedas) y las instrucciones de pago. En ocasiones incluye contadores de tiempo y amenazas de incrementar el coste o destruir las claves si no se paga en un plazo.

Breve historia y evolución del ransomware

Aunque parezca algo reciente, el primer caso documentado de ransomware data de 1989. Desde entonces, la evolución ha sido brutal hasta llegar al escenario actual de ciberextorsión industrializada.

De los disquetes al Bitcoin: los inicios

En 1989 se detectó el llamado troyano AIDS o ataque “PC Cyborg”, distribuido en disquetes a investigadores que trabajaban con el VIH. Este malware ocultaba directorios cifrando los nombres de los archivos y exigía unos 189 dólares para devolver el acceso.

Aunque era técnicamente limitado y se podía revertir sin pagar, sentó las bases conceptuales del cibersecuestro. En 1996, los expertos Adam L. Young y Moti Yung analizaron este caso y acuñaron el concepto de “extorsión criptoviral”, anticipando el uso de criptografía avanzada para mantener datos como rehenes.

Resurgimiento en los 2000 y salto a la criptografía fuerte

Tras unos años relativamente tranquilos, en torno a 2005 se produjo un repunte de infecciones, sobre todo en Rusia y Europa del Este. Empezaron a aparecer variantes que empleaban cifrado asimétrico, mucho más robusto.

A partir de 2009, la llegada de Bitcoin y otras criptomonedas facilitó los pagos anónimos, disparando el interés de los delincuentes. Ya no hacía falta recibir dinero por correo o cuentas bancarias rastreables: bastaba una dirección de monedero virtual.

CryptoLocker y la era moderna del ransomware

En 2013, CryptoLocker marcó el inicio de la era moderna del ransomware de cifrado masivo. Empleaba claves RSA de 2048 bits, distribuía el malware a gran escala y exigía pagos en Bitcoin o cupones prepago, con plazos estrictos y aumento del rescate si se retrasaba el pago.

Posteriormente surgieron variantes como CryptoWall, TorrentLocker o TeslaCrypt, cada una con mejoras en propagación, cifrado o técnicas de evasión. Algunas, como TeslaCrypt, acabaron con su clave maestra publicada, permitiendo a las víctimas recuperar los datos con herramientas gratuitas.

WannaCry, Petya, Mamba y la expansión mundial

En mayo de 2017, WannaCry protagonizó uno de los mayores ciberataques de la historia, aprovechando una vulnerabilidad en Windows (MS17-010). En cuestión de horas afectó a más de 75.000 equipos en decenas de países: hospitales en Reino Unido, empresas en España, redes de transporte en Rusia y muchos más.

Poco después, nuevas variantes de Petya y el ransomware de cifrado completo de disco Mamba demostraron que los atacantes podían ir más allá del simple cifrado de archivos, llegando a manipular el registro de arranque maestro (MBR) y dejar el sistema completamente inutilizable sin la clave.

Mamba, por ejemplo, utilizaba la herramienta de cifrado de disco DiskCryptor, sobrescribía el MBR y creaba nuevos usuarios en el sistema, complicando la respuesta y la recuperación.

Ryuk, la “caza mayor” y la pandemia

A partir de 2018, Ryuk se convirtió en uno de los nombres más temidos. Se centraba en grandes organizaciones (administraciones, medios de comunicación, empresas de servicios esenciales) y pedía rescates multimillonarios.

Esta estrategia de atacar objetivos de alto valor se conoce como “caza mayor”. Ryuk y otras familias han llegado a incorporar capacidades de gusano, usando Wake on LAN, SMB y RPC para propagarse dentro de las redes y evitar afectar a víctimas en determinados países.

Durante la pandemia de COVID-19 en 2020, los ataques de ransomware se dispararon. El teletrabajo masivo, a menudo con menor seguridad que la de las oficinas, abrió nuevas puertas de entrada. Sectores como la sanidad, la administración y las finanzas estuvieron en el punto de mira.

Tendencias recientes: doble extorsión, secuestro de hilos y robo de información

Desde 2019, la doble y triple extorsión se han convertido en la norma. Las bandas no solo cifran datos: los roban y amenazan con publicarlos si no se paga, presionando también a clientes y socios.

Equipos como IBM Security X-Force han observado que casi todos los incidentes desde 2019 incluyen robo de datos. Además, muchas bandas (LockBit, remanentes de Conti y otras) han incorporado malware ladrón de información a su arsenal, lo que les permite chantajear sin necesidad de bloquear sistemas.

En 2022 se popularizó el “secuestro de hilos”: los atacantes se incrustan en conversaciones de correo legítimas de la víctima (por ejemplo, respuestas a un hilo real) para propagar malware con apariencia totalmente confiable.

Según datos recientes de la industria, en 2023 los pagos por ransomware superaron los 1.000 millones de dólares anuales, con rescates medios superiores a los 600.000 dólares. Y las estadísticas de 2024 señalan incrementos significativos de ataques en países como Estados Unidos y Reino Unido.

Ransomware como servicio (RaaS): la industrialización del delito

Una de las evoluciones más preocupantes es el modelo Ransomware as a Service (RaaS). En lugar de operar de forma aislada, algunos grupos crean kits de ransomware que alquilan o venden a otros delincuentes.

En este esquema, los desarrolladores proporcionan el malware, la infraestructura, paneles de control y manuales paso a paso para lanzar ataques. Los afiliados se encargan de comprometer víctimas y repartir el botín: a menudo, un porcentaje (por ejemplo, un 30 %) va para los creadores y el resto para quien ejecutó el ataque.

Ejemplos de familias o servicios asociados a este modelo incluyen Stampado, Philadelphia, Cerber, GrandCrab, Ako, LockBit o RaasBerry, entre otros. Cada uno con sus características, precios de suscripción y niveles de soporte “técnico” para sus clientes criminales.

Este enfoque ha bajado enormemente la barrera de entrada: ya no hace falta ser un experto en criptografía o programación para lanzar campañas de ransomware; basta con pagar una suscripción y seguir instrucciones.

Impacto económico y social del ransomware

El ransomware no solo bloquea ordenadores: puede paralizar servicios críticos y poner en riesgo vidas. Ataques a hospitales han afectado a laboratorios, farmacias y servicios de emergencia, generando retrasos en tratamientos y diagnósticos.

A nivel económico, las pérdidas no se limitan al pago del rescate. Hay que sumar tiempos de inactividad, costes de recuperación, mejora de infraestructuras, sanciones regulatorias y daños reputacionales. En muchos casos, las pymes no se recuperan y acaban cerrando.

Además, expertos señalan que unas malas prácticas de gestión de la información (no actualizar sistemas, uso de software pirata, ausencia de copias de seguridad, privilegios excesivos a usuarios, etc.) agravan el impacto cuando llega un ataque.

Qué hacer si tu sistema se infecta con ransomware

Cuando un equipo se ve afectado, no existe una solución mágica que valga para todos los casos. Aun así, hay una serie de recomendaciones generales ampliamente aceptadas por la comunidad de ciberseguridad.

La primera y más importante: no pagar el rescate. Autoridades como el FBI desaconsejan claramente el pago. No hay garantía de recuperación, anima a los delincuentes a seguir atacando y puede convertirte en objetivo preferente en el futuro.

En función del tipo de ransomware y del estado de los datos, se pueden contemplar estas opciones:

• Aislar inmediatamente los equipos afectados: desconectarlos de la red (cable y Wi-Fi) y apagar sistemas si se observa un comportamiento anómalo repentino, para intentar frenar la propagación.
• Utilizar herramientas de seguridad reconocidas para eliminar el malware. Puede que no recuperes los archivos cifrados, pero al menos detendrás la infección.
• Restaurar copias de seguridad fiables y no infectadas, tras formatear o reinstalar completamente los equipos afectados.
• Probar desencriptadores gratuitos para familias concretas, disponibles en iniciativas como No More Ransom o herramientas de fabricantes de seguridad, siempre verificando que se corresponden exactamente con la variante sufrida.
• En caso de ransomware de bloqueo de pantalla, arrancar en modo seguro o usar medios de arranque externos para intentar desinstalar el software malicioso.

En España, es recomendable informar a las autoridades competentes y a organismos como INCIBE, que ofrece ayuda gratuita y confidencial a través del número 017. En el ámbito empresarial, también se aconseja contactar con el equipo de respuesta a incidentes propio o con expertos externos.

Cómo protegerse frente al ransomware

En materia de ransomware, la prevención es muchísimo más eficaz que la cura. Una vez los datos están cifrados, las posibilidades reales de recuperación sin pagar son limitadas, y dependen de tener copias de seguridad o de errores concretos en el malware.

Por eso, conviene combinar medidas técnicas, organizativas y de concienciación para reducir al máximo el riesgo.

Buenas prácticas técnicas básicas

Algunas recomendaciones esenciales para empresas y particulares son:

• Mantener equipos, sistemas operativos y aplicaciones actualizados y parcheados. Muchas campañas masivas explotan vulnerabilidades conocidas para las que ya existe solución.
• Usar soluciones antimalware y antiransomware confiables, con protección en tiempo real, análisis de comportamiento y tecnologías antiexploit.
• Implantar filtros antispam y de seguridad en el correo electrónico para bloquear adjuntos y enlaces maliciosos.
• Aplicar políticas de lista blanca de aplicaciones en entornos críticos, permitiendo solo la ejecución de software autorizado.
• Segregar la red y limitar privilegios: evitar que un único usuario tenga acceso a todo, y que un compromiso inicial permita saltar fácilmente a otros sistemas.

Copias de seguridad: tu red de seguridad

Las copias de seguridad son el salvavidas frente a este tipo de ataques. Para que realmente sirvan, deben cumplir algunos requisitos básicos:

• Realizar backups periódicos de los datos importantes (documentos, bases de datos, configuraciones, etc.).
• Almacenar parte de esas copias offline o en ubicaciones inaccesibles desde los sistemas de producción (discos externos desconectados, almacenamiento en la nube con autenticación robusta, etc.).
• Probar regularmente la restauración para asegurarte de que las copias funcionan y se pueden recuperar en un tiempo razonable.

Formación y concienciación de usuarios

La tecnología no basta si la gente pincha donde no debe. Capacitar a empleados y usuarios es crítico, especialmente en empresas:

• No abrir adjuntos inesperados ni de remitentes desconocidos, y verificar por otro canal cuando algo resulte sospechoso aunque parezca venir de un contacto conocido.
• Revisar los enlaces antes de hacer clic, pasando el ratón por encima para comprobar la URL real o escribiendo la dirección manualmente en el navegador si hay dudas.
• Evitar navegar por webs dudosas, descargar software pirata o utilizar programas de procedencia ilícita, que a menudo incorporan malware.
• Reportar de inmediato cualquier correo o mensaje sospechoso al área de TI o seguridad.

También es recomendable implantar políticas claras de uso aceptable de sistemas y dispositivos, de forma que todo el mundo tenga claro qué se puede hacer y qué no con los recursos corporativos.

El ransomware se ha consolidado como una amenaza extremadamente rentable para los delincuentes y peligrosa para cualquier usuario u organización, pero entendiendo cómo funciona, qué tipos existen, cómo ha ido evolucionando y qué medidas de prevención son realmente efectivas, es posible reducir mucho el riesgo y estar mejor preparado para responder con calma si algún día se presenta la temida nota de rescate en la pantalla.