ciberseguridad

Ransomware: Protección esencial para su empresa

Home Ciberseguridad
Dirección copiada

¿Sabía usted que el costo estimado de la ciberdelincuencia en el mundo para 2025 será de 10.5 billones de dólares? Es una tendencia creciente protagonizada por modalidades delictivas como el ransomware, pero ¿en qué consiste este último y cuales son sus tendencias? Conózcalas a continuación. 

Publicado el 27 de feb de 2025
Ransomware un tendencia criminal creciente
Ransomware un tendencia criminal creciente.

El Centro de Ciberseguridad del Foro Económico Mundial inició el 2025 publicando su visión de las amenazas para el nuevo periodo presagiando un periodo marcado por ataques cada vez más sofisticados, en los que el ransomware, la ingeniería social y la ciberdelincuencia impulsada por IA seguirán siendo las principales preocupaciones. Y aunque las 3 tendencias son males ya conocidos en el mundo de la seguridad informática, el ransomware cobra especial relevancia por su tamaño y evolución. 

Para colocar cifras, según la firma analista Mordor Research en el 2025 el mercado mundial de soluciones de protección contra el ransomware se estima en 25.340 millones de dólares para 2025, y se espera que alcance los 61.830 millones en 2030, con una tasa de crecimiento anual del 19,53 %. Para entender este crecimiento, su impacto y estrategia de prevención desde Impacto TIC preparamos esta guía.

Introducción al Ransomware

El ransomware es definido por Gartner como un tipo de extorsión cibernética en la que un actor malicioso se infiltra en un entorno y cifra y filtra archivos, denegando el acceso y amenazando con la divulgación, a menos que la víctima pague un rescate. En algunos casos, el propio ordenador puede quedar bloqueado, o los datos que contiene pueden ser encriptados, robados o borrados.  

Esencialmente los ataque de ransomware se pueden dividir en tres grandes fases:

  • El acceso: Que ocurre como su nombre lo indica cuando los atacantes penetraron la red, establecen el control y despliegan el software malicioso de encriptación. También pueden hacer copias de sus datos para utilizarlas en la extorsión.
  • Activación: Corresponde a la etapa de activación del malware, bloqueando los dispositivos y cifrando los datos en toda la red, haciéndolos inaccesibles para sus usuarios.
  • Petición de rescate: La tercera fase consiste en la notificación del ciberdelincuente a sus víctimas, explicando el rescate y cómo pagarlo para desbloquear el ordenador o recuperar el acceso a los datos. Actualmente el pago suele exigirse en criptomonedas.

Tipos Comunes de Ransomware

Según su funcionamiento, modelo de servicio o incluso la forma como se acercan e intimidan a sus víctimas, el ransom se puede clasificar en varios tipos, aunque con dos grandes tendencias: una de bloqueo y otra de cifrado.

La primera de ellas niega el acceso a funciones críticas del computador, un ejemplo de esta tendencia son Petya y Locky, mientras que la segunda encripta archivos estratégicos de las organizaciones como ocurre con CryptoLocker, Cerber, Bad Rabbit y Ryuk.

Dicho esto, otras variedades de ransomware son:

  • Scareware: Utiliza mensajes alarmantes para engañar a los usuarios haciéndoles creer que su ordenador está infectado con un virus o tiene un problema grave de seguridad. A continuación, exige un pago para solucionar el problema. Algunos ejemplos son SpySheriff, XPAntivirus, ErrorSafe y Mac Defender.
  • Ransomware como servicio (RaaS): Se trata de un modelo de negocio en el que los desarrolladores de ransomware proporcionan su malware a sus clientes que a su vez infectan objetivos y comparten los pagos de los rescates. Ejemplos de esta tendencia son Cerber y REvil.
  • Wiper Malware: Más que cifrar, esta modalidad de ransomware busca borrar el disco duro, programas  y datos almacenados de los computadores que infecta como ocurrió con NotPetya o recientemente en la guerra de Ucrania.
  • Ransomware de doble extorsión: Este tipo combina el cifrado con el robo de datos  donde amenazan a sus víctimas con publicar información sensible en la red si no se paga el rescate. REvil y Maze son ejemplos de ransomware de doble extorsión.

Mecanismos de Infección y Propagación

El ransomware evoluciona con el tiempo y mientras la digitalización de las organizaciones aumenta, los criminales ven estas plataformas (IoT, Nube, smartphones) como posibles puertas de acceso o vectores de ataques para llegar a sus víctimas.

Algunos de los métodos de infección más populares de infección son:

Correos electrónicos de phishing: Los atacantes envían correos electrónicos que parecen proceder de fuentes legítimas engañando a los usuarios para que hagan clic en enlaces maliciosos o para que abran archivos infectados.

Vulnerabilidades de software: Los atacantes aprovechan los fallos de seguridad del software o de los mismos sistemas operativos de los computadores para inyectar códigos maliciosos en estos dispositivos. Un ejemplo tristemente célebre de este sistema fue WannaCry.

Malvertising: Se trata de anuncios publicitarios que buscan redirigir a los usuarios para que estos descarguen archivos nocivos. De esta forma, cuando un usuario hace clic en un anuncio malicioso, es redirigido sin saberlo a un sitio web que aloja un kit de explotación.

Mediante el robo de credenciales: En esta variable los delincuentes acceden a las credenciales de los usuarios para atacar los sistemas corporativos mediante métodos como phishing y keylogging.

Troyanos: Uno de los más conocidos y donde el ransomware puede disfrazarse de software legítimo, engañando a los usuarios para que lo descarguen y ejecuten.

Visita a sitios web: Los atacantes pueden inyectar código malicioso en sitios web legítimos, dando lugar a descargas de ransomware cuando los usuarios visitan esos sitios. Esto puede ocurrir cuando los sitios web no están debidamente protegidos o cuando los atacantes aprovechan vulnerabilidades del sitio web.

Impacto del Ransomware en Entornos Empresariales

Uno de los principales problemas con el ransomware es que va más allá del dinero. En otras palabras, además del pago de cuantiosas sumas a cibercriminales sin garantías reales de que no volverán a atacar, el ransomware puede interrumpir el flujo de operaciones de una empresa y peor aún afectar a los clientes y la imagen misma de las marcas.

Hablando estrictamente de pérdidas económicas, el pago de rescates, el tiempo de inactividad, los costes de recuperación, los honorarios legales y las posibles multas pueden dar lugar a importantes pérdidas financieras se suman unas a otras. Como muestra, en 2024, el rescate promedio rondaba los 2,73 millones de dólares según Sophos.Esto sin hablar de la pérdida de datos. 

Además, el gigante financiero JPMorgan estima que recuperarse de un ataque de ransomware puede llevar días o incluso semanas, antes de restaurar completamente las capacidades informáticas de una organización que incluso de lograrse rápidamente no garantizan que la imagen de marca de una organización no quede seriamente afectada.

Piense por ejemplo en una entidad financiera afectada por ransomware, ¿qué confianza pueden tener los clientes de depositar sus recursos en una entidad vulnerable?,¿cuánto cuesta esa pérdida de confianza?

Estrategias de Prevención y Protección contra Ransomware

Así como la implementación de soluciones tecnológicas requieren de trabajo en equipo, la estrategias de ciberseguridad para prevenir los ataques de ransomware demandan de esfuerzos colectivos, porque no importa que tan costosa sea su plataforma de Ciberseguridad si un empleado visitas sitios desprotegidos poco se puede garantizar.

Se trata de esfuerzos que deben venir desde la misma gerencia y requieren de una estrategia a largo plazo con elementos de capacitación, medición constante y en muchos casos de asesoría externa especializada.

Dichos estos puntos, algunas buenas prácticas son:

  • Formación en ciberseguridad: Que parta de educar a los empleados sobre estafas de phishing, enlaces sospechosos y archivos adjuntos para prevenir ataques de ingeniería social.
  • Actualizaciones periódicas del software: Mantenga actualizados los sistemas operativos y el software con los últimos parches de seguridad para evitar la explotación de vulnerabilidades.
  • Contraseñas seguras y autenticación multifactor: Imponga contraseñas seguras y aplique la autenticación multifactor para evitar el acceso no autorizado. La autenticación multifactor añade una capa extra de seguridad al requerir que los usuarios proporcionen múltiples formas de identificación, como una contraseña y códigos de un solo uso.
  • Copias de seguridad y plan de recuperación de datos: Siempre es bueno estar prevenido y realizar copias de seguridad periódicas de los datos críticos.
  • Plataformas de seguridad del correo electrónico y filtrado de URL: Utiliza herramientas de seguridad de email para bloquear correos electrónicos de phishing y sitios web maliciosos.
  • Software antivirus: Uno de los pasos más básicos y tradicionales es instalar y mantener actualizado el software antivirus para detectar y prevenir infecciones de ransomware.
  • Segmentación de la red: Divida la red en segmentos más pequeños para limitar la propagación del ransomware en caso de infección.
  • Acceso con mínimos privilegios: Restringe los permisos de los usuarios a sólo lo necesario para sus funciones con el fin de limitar el daño potencial del ransomware. 
  • Seguridad de Endpoints: Implante soluciones de detección y respuesta de puntos finales (EDR) para supervisar y proteger los puntos finales de los ataques de ransomware. 
  • Análisis de riesgos: Llevar a cabo y de forma periódica análisis exhaustivos de los riesgos de ciberseguridad para identificar posibles amenazas y debilidades de la plataforma TI.
  • Pruebas de pentest: Realice pruebas de penetración periódicas para simular ataques del mundo real e identificar vulnerabilidades en los sistemas y las medidas de seguridad.

Procedimientos de Respuesta ante un Ataque de Ransomware

Aunque lo ideal es prevenir los casos de ransomware basados en una buena estrategia de seguridad informática y herramientas tecnológicas, también es bueno conocer los principales pasos que se deben tener en cuenta en el peor escenario y cuando pedir ayuda a asesores externos y autoridades que ayuden a rastrear el origen del malware.

En estas circunstancias lo ideal es responder empezando por:

  • Aislar el ransomware: Es el punto de partida para evitar la propagación hacia otros dispositivos a través de la red. Por ello, primero debe apagar el sistema infectado, desconectar todos los cables de red; sistemas de almacenamiento y apagar la Wi-Fi que da servicio a la zona. Por cierto, no reinicie los dispositivos afectados ya que esto puede provocar la pérdida de datos y obstaculizar la investigación.
  • Identifique al enemigo: Paralelo a un proceso de documentación del incidente, la siguiente prioridad es identificar el tipo de ransomware ya sea analizando la nota de rescate, las extensiones de archivo y otros factores. 
  • Intente el descifrado: Tras borrar el malware utilice herramientas o servicios de descifrado para intentar recuperar los archivos cifrados y posteriormente restablezca las credenciales, incluidas las contraseñas.
  • Restaure desde copias de seguridad: Si es posible, pase a restaurar los sistemas y datos a partir de copias de seguridad limpias. Esta es la forma más eficaz de recuperarse de un ataque de ransomware sin pagar.

Tendencias Actuales y Futuras del Ransomware

El panorama de las amenazas de ransomware está evolucionando rápidamente, volviéndose más peligroso y complejo. Los ciberdelincuentes no solo aumentan la frecuencia de sus ataques, sino que también perfeccionan sus tácticas para maximizar el daño y las ganancias.

Ya no se trata solo de cifrar datos. Los atacantes ahora emplean una estrategia de “extorsión múltiple”, en la que roban información confidencial y amenazan con publicar o lanzar ataques DDoS si no se cumplen sus demandas. Esta presión adicional dificulta que las organizaciones se recuperen sin ceder al chantaje.

La proliferación de ransomware como servicio (RaaS) democratiza el acceso a estas herramientas maliciosas, permitiendo que incluso ciberdelincuentes con poca experiencia lancen ataques sofisticados. Además, el uso de vulnerabilidades de día cero y técnicas avanzadas de phishing, como el spear phishing, les permite burlar las defensas y comprometer sistemas con mayor facilidad.

Para evadir la detección, los atacantes recurren a técnicas ‘Living off the Land’ (LotL), utilizando herramientas legítimas del sistema para sus fines maliciosos. Esto dificulta la labor de las soluciones de seguridad tradicionales, que no reconocen estas acciones como amenazas.

La migración a la nube también ha abierto nuevas oportunidades para los ciberdelincuentes. Los entornos cloud se están convirtiendo en objetivos cada vez más atractivos, lo que exige a las organizaciones fortalecer la seguridad de sus infraestructuras en la nube.

Mirando hacia el futuro, la Inteligencia Artificial (IA) podría impulsar una nueva generación de ransomware aún más sofisticado y automatizado. Los atacantes podrían utilizar la IA para personalizar los ataques de phishing, optimizar el proceso de extorsión y evadir las medidas de seguridad con mayor eficacia.

Afortunadamente, las agencias de aplicación de la ley a nivel internacional están intensificando la cooperación para combatir esta creciente amenaza. El intercambio de información y la colaboración son cruciales para desmantelar las operaciones de ransomware y llevar a los responsables ante la justicia.

Finalmente, es importante destacar que los ataques de ransomware se están dirigiendo cada vez más a sectores específicos, como la salud y la educación. Estas industrias, que a menudo manejan información crítica y cuentan con recursos limitados en ciberseguridad, son particularmente vulnerables. Los ataques a estos sectores pueden tener consecuencias devastadoras, interrumpiendo servicios esenciales y poniendo en riesgo la vida de las personas.

Preguntas frecuentes sobre ransomware

¿Cómo puede una empresa detectar una infección por ransomware a tiempo?

La detección temprana del ransomware es crucial para mitigar los daños. Las empresas pueden detectar infecciones mediante soluciones de gestión de eventos e información de seguridad (SIEM) para supervisar la actividad inusual, como intentos de acceso no autorizados o modificaciones sospechosas de archivos.

La detección y respuesta de puntos finales (EDR) también es vital para supervisar la actividad de los usuarios y detectar comportamientos maliciosos. Igual ocurre con las soluciones de análisis del tráfico de red que buscan patrones inusuales, como grandes transferencias de datos o comunicación con direcciones IP maliciosas conocidas.

Es fundamental además educar a los empleados para que reconozcan los signos de ransomware, como correos electrónicos sospechosos o comportamientos informáticos inusuales además de realizar evaluaciones periódicas de la seguridad.

¿Es recomendable pagar el rescate exigido por los atacantes?

Por lo general, no se recomienda pagar el rescate. Ya que no hay garantía de que los atacantes proporcionen la clave de descifrado, y además al pagar se fomentan nuevas actividades delictivas. Tenga en cuenta que en algunos países no está legalmente permitido pagar a estos criminales.

¿Qué políticas de respaldo de datos son efectivas contra el ransomware?

Las políticas eficaces de copia de seguridad de datos deben seguir la regla 3-2-1:

  • 3 copias de los datos: Conserve tres copias de sus datos para garantizar la redundancia.
  • 2 Formatos diferentes: Almacena las copias de seguridad en dos formatos diferentes (por ejemplo, disco duro local y almacenamiento en la nube).
  • 1 Copia externa: Almacena al menos una copia de tus datos fuera de las instalaciones o en un servicio seguro en la nube.

¿Cómo afecta el ransomware a la reputación de una empresa?

En múltiples formas que pueden comenzar con la pérdida de confianza de los clientes, en comentarios negativos virales en torno al ataque y con consecuencias legales según la normatividad de cada organización.

¿Qué regulaciones existen sobre la gestión de incidentes de ransomware en empresas?

Estas dependen del país donde opere cada organización. En Colombia la Ley 1273 de 2009 introduce y define una serie de delitos específicos relacionados con el uso de tecnologías de la información. Esto incluye acciones como el acceso abusivo a sistemas informáticos, la interceptación de datos informáticos, el daño informático, el uso de software malicioso, entre otros. Además establece las penas y sanciones correspondientes para quienes incurran en estos delitos.

Para ser exactos: el artículo 269A o de acceso abusivo a un sistema informático establece que “el que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes”.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

Jorge Hernández

Periodista de la Universidad de La Sabana, escritor y guionista con más de 20 años de experiencia en medios como El Tiempo, El Espectador, y la revista Esquire. Libretista de estudio para las cadenas RCN y ESPN. Además de ganador en convocatorias para el desarrollo de videojuegos (CREA Digital 2020) y series de televisión (Ibermedia 2023). Periodista de Impacto TIC, medio del grupo Dixigem 360.

Sígame en

Canales

Artículos relacionados

  • CIBERSEGURIDAD

    Ciberseguridad: Desafíos y soluciones para 2025  

    24 Feb 2025

    por Redacción Impacto TIC

    Compartir

  • industrias

    Almacenamiento Robotizado (ASRS): Eficiencia e innovación en la logística colombiana

    03 Dic 2024

    por Sandra Defelipe Díaz

    Compartir

  • eventos

    HumanIA 2025: La Inteligencia Artificial se toma la semana del talento en Colombia

    19 Feb 2025

    por Jorge Hernández

    Compartir

  • INNOVACIÓN EMPRESARIAL

    Business Analytics (BA): ¿Qué es y para qué sirve?

    02 Ago 2024

    por Wilson Cabrera Patiño

    Compartir

Siguiente

Ciberseguridad: Desafíos y soluciones para 2025  

Artículo 1 de 5