El ransomware y la sofisticación de sus ataques han crecido sustancialmente en los años recientes.
Las nuevas variantes —además de encriptar información— amenazan con publicarla o venderla si no se paga el rescate. Según el informe de Sophos “The State of Ransomware 2024”, 30% de las organizaciones víctimas también sufrieron filtración de datos como parte del ataque, lo que agrava los riesgos legales y reputacionales.
La superficie de ataque también está incrementándose a ritmo acelerado. Los conflictos geopolíticos tienen un nuevo frente de batalla, ahora en el ciberespacio, campo fértil para más ciberataques. Por eso la ciberseguridad se convierte en un pilar clave para desarrollar en las organizaciones que deben eliminar ransomware para evitar problemáticas futuras.
Con todas las complejidades de estos escenarios, las investigaciones dicen que el ransomware se mantendrá en 2025 como el ciberdelito prevaleciente en todo el mundo, con carácter disruptivo, no solo por la frecuencia de los ataques, sino también por el impacto de cada uno de ellos, de acuerdo con el reporte Cybersecurity Forecast 2025 de Google Cloud Security. A esta conclusión también llega el informe IBM X-Force Threat Intelligence Index 2024, que señala que los ataques de ransomware representaron el 26% de todos los incidentes analizados a nivel mundial en el último año.
Por ello, hay que tener claro que el ransomware es un negocio, ilegal, sí, pero con gran cantidad de organizaciones orquestando los ciberataques, cada vez más especializados, eficaces y hasta rentables. Eliminar ransomware se convierte entonces no solo en un reto importante, sino en una prioridad.
¿Qué es el ransomware y cómo afecta a las empresas?
El ransomware es un tipo de malware cuyo propósito es bloquear el acceso a un sistema o lograr el control del equipo, exigiendo un pago para liberarlo. Este virus ransomware emplea técnicas de cifrado en archivos del sistema, impidiendo el acceso a los mismos hasta que se cumpla con el rescate.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) de Estados Unidos, destaca que los incidentes de ransomware y las filtraciones de datos asociadas “pueden afectar gravemente los procesos empresariales, impidiendo que las organizaciones accedan a los datos necesarios para operar y prestar servicios esenciales”.
El impacto económico y reputacional del ransomware y la extorsión de datos ha resultado complejo y costoso para organizaciones de todos los tamaños durante la interrupción inicial y, en ocasiones, durante la recuperación prolongada
El método más común de propagación sigue siendo mediante el envío de correos electrónicos maliciosos. Los destinatarios son engañados —sobre todo usando argucias de ingeniería social— para que abran un archivo infectado o hagan clic en algún enlace que les dirige a la página web del atacante.
Pasos inmediatos a seguir tras una infección por ransomware
Igual que sucede con una infección sanitaria, en el ámbito informático la velocidad de reacción ante un virus ransomware eleva las probabilidades de salir bien librados, por lo que es necesario seguir una serie de pasos:
Confinar los sistemas afectados
Como máxima prioridad, el confinamiento o aislamiento de los sistemas infectados evita que el ransomware se propague. Ya que en general el ransomware escanea la red de destino, va a cifrar los archivos almacenados en recursos compartidos de la red. Es ahí donde aplica la contención, eliminando de la red los sistemas comprometidos.
Copias de seguridad seguras
Antes se confiaba en que las copias de seguridad eran un mecanismo suficiente para recuperarse luego de un ataque ransomware, pero ya no es así. Estas copias no solo resultan vulnerables ante los ciberataques, sino que muchas variantes de ransomware están dirigidas concretamente al cifrado, anulación o eliminación de las copias de seguridad.
Entre las acciones de protección por parte de las organizaciones, se incluye la desconexión de su almacenamiento en la red o bien, el establecimiento de un bloqueo de acceso a los sistemas de copia de seguridad, hasta resolver la infección.
Creación de copias de seguridad de los sistemas infectados.
Luego de aislar de la red los sistemas infectados, se requiere de crear copias de seguridad de estos, porque es una manera de garantizar la integridad de los datos, particularmente en caso de que se utilice un descifrador de ransomware, o bien porque sean de utilidad para el análisis forense, ya que pueden contener información que ayude revertir el cifrado sin dañar los datos.
Poner en cuarentena el malware
Como se mencionó antes, el ransomware se lleva a cabo mediante virus malware. Este virus debe ponerse en cuarentena, para que los investigadores forenses analicen la infección e identifiquen la cepa de ransomware involucrada en el ataque y cifrado de archivos.
De igual manera, es importante que los afectados no eliminen ni reformateen los sistemas infectados, a menos que esa sea la indicación del especialista en recuperación de ransomware.
Identificar la fuente de la infección
Esto es equivalente a identificar al paciente cero, para entender cómo se logró acceso al sistema por parte de los atacantes, qué acciones llevaron a cabo en la red, así como el alcance de la infección. Esta es una vía para identificar vulnerabilidades y aplicar medidas que mitiguen el riesgo a futuro.
Identificar la cepa de ransomware
Tener identificada la cepa de ransomware es de mucha utilidad porque otorga a los afectados la posibilidad de buscar herramientas para el descifrado de sus archivos, en tanto se investiga el ataque y se decide pagar o no el rescate.
Evaluar si se paga o no el rescate.
Es posible que la organización cuente con políticas aplicables a casos de ransomware, pero estas deben ser actualizadas regularmente, ya que las condiciones y la importancia de los datos que se manejan se van modificando en el tiempo.
Andrés Velázquez, reconocido experto en ciberseguridad estratégica, explica que hay alternativas que todo directivo debe considerar cuando se está evaluando pagar o no un rescate de ransomware. También el informe anual de ENISA Threat Landscape 2024 alerta sobre el papel creciente de los grupos de ransomware como servicio (RaaS, por su acrónimo en inglés) y la profesionalización del cibercrimen. Entre ellas destaca:
- Prevención y preparación: Estas son claves para mantener respaldos sólidos y planes de contingencia.
- Equipo de respuesta y manejo de crisis: Será fundamental contar con expertos en ciberseguridad ya que la gestión de crisis permite reaccionar correctamente ante un incidente.
El pago de rescate puede aminorar el tiempo de interrupción en las operaciones, pero no necesariamente es seguro ni exitoso. El perjuicio económico tanto del pago como de la inactividad operativa, además de la pérdida de datos son factores que precisan de evaluaciones muy cuidadosas.
Parte de los factores a considerar cuando se enfrenta una situación de ransomware:
- Los ciberdelincuentes están al mando de la situación. Si cobran el rescate pueden o no liberar un desencriptador o descifrador efectivo. En el ámbito del ransomware se considera que los grupos de atacantes más “profesionales” optan por entregar a los afectados un descifrador funcional. Su interés está en el dinero (criptodinero habitualmente).
- Existe la posibilidad de que no funcione correctamente el desencriptador proporcionado por el atacante.
- Es posible que los recursos pagados como rescate se destinen a financiar actividades delictivas de todo tipo.
- Una última consideración que suele perderse de vista es que hay un enorme negocio mundial llamado ransomware. Los ciberatacantes no son improvisados, al contrario, operan profesionalmente en un mercado cuyo modelo comercial involucra grandes capacidades tecnológicas y conocimiento de los mecanismos financieros de las criptomonedas, todo ello basado en el pago del rescate que perpetúa el ciclo de más ataques.
Herramientas efectivas para detectar y eliminar ransomware
Existe una variedad de herramientas, algunas gratuitas, otras muchas con AI y machine learning incorporado, algunas más con procesos automatizados para la detección temprana de ransomware, en simultáneo con creación de backups.
- Antivirus y anti ransomware avanzado, como BitDefender, Malwarebytes y Emsisoft Anti-Malware, diseñados para detectar y bloquear malware y ransomware.
- Acronis Cyber Protect Cloud, con tecnología avanzada, gestiona copia de seguridad, antimalware, antivirus y administración de protección de endpoints de próxima generación, basados en inteligencia artificial.
- ESET Endpoint Security, elimina todo tipo de amenazas, incluidos virus, malware, ransomware
- Kaspersky Anti-ransomware, herramienta gratuita para eliminación de ransomware, sobre todo para grandes organizaciones.
- Trend Micro – RansomBuster, aporta varias capas de protección en cuanto detecta posible ransomware.
- RansomStrike es una plataforma diseñada desde cero para detección y protección en tiempo real; emplea modelos avanzados de inteligencia artificial y aprendizaje profundo dinámico.
- Ransomware Defender es una protección proactiva, completamente automatizada que funciona junto con los principales antivirus y antimalware.
Estrategias de recuperación de datos después de un ataque de ransomware
Un punto importante para eliminar ransomware, es restaurar los datos desde los backups, pero es igual de relevante garantizar la integridad de esos datos.
Una primera elección estratégica es acerca de restaurar los datos en los servidores originales o bien en máquinas virtuales (VM). Con la segunda opción, la organización tiene la ventaja de una recuperación operativa más rápida, mientras los equipos de IT o los analistas forenses trabajan en la identificación, limpieza y reinstalación de los sistemas.
Repositorios basados en memoria flash así como snapshots representan otras alternativas para la restauración de datos.
La segunda variable estratégica está relacionada con el control e integridad de los datos, ya que es imprescindible asegurarse de que los backups no estén infectados, a la par de que continúen siendo utilizables. Una solución de Secure Restore (restauración segura) procesa un análisis automático antivirus en las copias de respaldo antes de restaurarlas.
Una tercera estrategia es la de trabajar con respaldos inmutables, que aportan un alto índice de protección en caso de ataques ransomware.
Mejores prácticas para prevenir futuras infecciones de ransomware
Sufrir ataques de ransomware no es sinónimo de daño total o fracaso absoluto. Hay diversas fórmulas que ayudan tanto en lo preventivo como en la recuperación, varias de ellas asociadas con la implementación de mejores prácticas:
- Probar periódicamente el funcionamiento de los backups, tanto en servidores como en máquinas virtuales.
- Implementar un plan de respuesta ante incidentes de ransomware.
- Simulación y práctica para la recuperación ante incidentes de ransomware.
- Capacitación y sensibilización para el personal en lineamientos y acciones concretas para la prevención del ransomware.
La importancia de las copias de seguridad en la defensa contra ransomware
Ante el cuestionamiento de cómo recuperar los datos sin pagar rescate, surge el razonamiento que otorga especial importancia a las copias de seguridad (los backups).
Una buena solución de copias de seguridad no aporta mayor seguridad a los datos, pero si permite que su recuperación sea más sencilla y rápida, con lo que la vuelta a la normalidad operativa en la organización suceda lo más pronto posible.
Las características que hablan de la eficacia ante ataques de ransomware en las soluciones de copias de seguridad son:
- Automatización
- Redundancia
- Velocidad y
- Flexibilidad
Adicionalmente, la implementación de la estrategia 3-2-1-1 es muy recomendable. Este enfoque estratégico forma parte de las propuestas de expertos para que la organización proteja sus sistemas ante cualquier intento de cifrado y tiene como base un esquema de copias de seguridad muy específico.
Implica crear al menos tres copias de los datos, distribuidas en dos medios de almacenamiento separados. A lo que se agrega otra capa de seguridad, ya que una de las copias debe ser inmutable y mantenerse en un entorno externo.
Casos de estudio: Empresas que superaron ataques de ransomware
| Empresa | Descripción | Tipo de Ransomware | Cómo lo solucionaron |
|---|
| Petróleos Mexicanos (Pemex) | En noviembre de 2019, Pemex sufrió un ataque de ransomware que afectó alrededor del 5% de sus sistemas informáticos. Los atacantes exigieron un rescate de aproximadamente 5 millones de dólares en bitcoins. La empresa logró neutralizar el ataque oportunamente y restaurar sus operaciones. | DoppelPaymer | Restauración desde respaldos y fortalecimiento de medidas de seguridad. |
| Grupo GTD | En octubre de 2023, la empresa de servicios tecnológicos GTD fue víctima de un ataque de ransomware que afectó su plataforma de Infraestructura como Servicio (IaaS), interrumpiendo servicios de data center, telefonía, VPN y conexión a internet para más de 3,000 clientes en Chile y, en menor medida, en Perú. La empresa trabajó rápidamente para restaurar los servicios y reforzar sus medidas de seguridad. | Rorschach (BabLock) | Suspensión temporal de servicios IaaS, revisión exhaustiva de sistemas y colaboración con autoridades para resolver el incidente. |
| Multinacional Bimbo | En febrero de 2024, Bimbo fue atacada por el ransomware MEDUSA, que cifró datos y añadió la extensión “.MEDUSA” a los archivos comprometidos. La empresa implementó protocolos de respuesta y logró recuperar sus sistemas sin pagar el rescate, fortaleciendo posteriormente sus estrategias de ciberseguridad. | Medusa | Activación de protocolos de respuesta a incidentes, recuperación de sistemas desde respaldos y fortalecimiento de medidas de seguridad. |
| Comisión Nacional de Valores (CNV) | En junio de 2023, la CNV de Argentina sufrió un ataque de ransomware por parte del grupo Medusa, resultando en el cifrado de archivos y robo de información. Aunque la CNV logró aislar y controlar el ataque, sus plataformas en línea quedaron fuera de servicio temporalmente. | Medusa | Aislamiento de equipos afectados, control del ataque y restauración paulatina de servicios en línea. |
| Colonial Pipeline | En mayo de 2021, Colonial Pipeline sufrió un ataque de ransomware que afectó sus sistemas de información, llevando al cierre temporal de su oleoducto que suministra el 45% del combustible en la costa este de EE.UU. La empresa pagó un rescate de 4.4 millones de dólares, pero con apoyo del gobierno, logró recuperar parte del monto y restablecer operaciones en pocos días. | DarkSide | Pago del rescate, colaboración con autoridades para recuperar parte del monto y restauración de operaciones. |
Preguntas frecuentes sobre eliminación de ransomware
¿Es recomendable pagar el rescate solicitado por los atacantes?
Lo primero que recomiendan los grupos de ciberseguridad del estado así como los expertos es no pagar. La decisión final la toma quien funge como responsable del área informática de la organización.
¿Cómo puedo identificar el tipo de ransomware que ha infectado mi sistema?
Están disponibles herramientas a través plataformas en las que se sube un archivo infectado y la nota de rescate, para su análisis, identificación y recomendaciones. También las comunidades en internet pueden ayudar.
¿Existen herramientas gratuitas para descifrar archivos afectados por ransomware?
Hay una gran variedad de herramientas gratuitas para ello. La mayoría de las suites antivirus cuentan con alguna, así como es posible encontrar listados de ellas mediante un buscador.
¿Qué medidas de seguridad debo implementar para protegerse contra futuros ataques de ransomware?
No hacer clic en enlaces sin verificación; escanear los correos; usar firewalls y endpoints; descargas sólo desde sitios confiables, copias de seguridad de datos relevantes; evitar USB´s desconocidos; emplear autenticación 2FA.
¿Cómo afecta el ransomware a los dispositivos móviles y cómo puedo protegerme?
Queda bloqueado el acceso al teléfono y se recibe un mensaje solicitando el pago para entregar la clave de acceso que libera el equipo. La protección se logra con un sistema operativo siempre actualizado, un antimalware y evitando la descarga de programas sospechosos.
¿Cómo afecta a la empresa depender de proveedores externos ante un ataque de ransomware?
Depender de terceros puede abrir nuevas puertas a los atacantes. Si un proveedor no tiene medidas sólidas de ciberseguridad, su infraestructura puede ser el punto débil que exponga tus sistemas. Para mitigar este riesgo, es clave exigir certificaciones de seguridad, realizar auditorías periódicas y establecer cláusulas contractuales que contemplen la responsabilidad ante incidentes de ransomware.
¿Qué podemos hacer para continuar operando después de un ataque, más allá de restaurar backups?
Los respaldos son solo una parte de la solución. La continuidad del negocio requiere planes específicos que incluyan servidores espejo, entornos virtuales preconfigurados, comunicación interna automatizada y procesos para toma de decisiones en crisis. Contar con un plan de contingencia activo marca la diferencia entre detener la operación y mantenerla a flote mientras se resuelve el incidente.
¿Cómo medimos si la inversión en ciberseguridad realmente protege contra el ransomware?
El retorno no se mide solo en dinero invertido, sino en incidentes evitados. Una forma efectiva es simular ataques controlados (red teaming), evaluar la rapidez de detección y respuesta, y calcular el costo potencial que habría tenido un ataque real. Las métricas clave incluyen tiempo medio de detección, tiempo de recuperación y costos evitados por interrupciones.
